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Introduction au service de conformité PCI 


Le service de conformité PCI est un service à la demande permettant de générer des rapports et 
d'effectuer des évaluations de conformité. Qualys est un prestataire de services de scan agréé ASV PCI 
(Approved scanning Vendor) qui aide les commerçants et les consultants à évaluer le niveau de sécurité 
de leurs données de paiement par carte à chaque étape du processus : transmission et stockage des 
données du titulaire de la carte jusqu’à la réussite de l'évaluation PCI DSS (Normes en matière de sécurité 
des données). 


Le PCI Security Standards Council (Conseil des normes de sécurité PCI) demande aux banques, ainsi 
qu'aux commerçants et prestataires de services membres (MSP) de protéger les données du titulaire de la 
carte en adhérant à un ensemble d'exigences de sécurité s'appuyant sur les normes PCI DSS. Les 
membres fondateurs du PCI Security Standards Council sont : American Express, Discover Financial 
Services, JCB, MasterCard Worldwide et Visa International. 


Normes de sécurité des données PCI 


Les normes PCI DSS regroupent l’ensemble des méthodes et des outils permettant le scan et la 
manipulation de données sensibles en toute sécurité ; Elles détaillent les exigences techniques pour le 
stockage, le traitement et la transmission des données du titulaire de manière sécurisée. 


Les entreprises et organisations qui se conforment aux normes PCI DSS doivent réaliser des scans de 
sécurité trimestriels de leurs composants réseau, serveurs, et applications tout en justifiant de leur 
conformité avec les banques acquéreuses en envoyant un rapport ASV qui atteste d’un niveau de sécurité 
de 100% (aucune vulnérabilité), tels que définis par le PCI Council. Le non-respect de ces normes de 
sécurité peut entraîner des amendes, des restrictions ou une expulsion permanente des programmes 
spécifiques aux cartes de paiement. 


Exigences de sécurité des données PCI 


Pour se conformer aux normes PCI DSS, les commerçants et les prestataires de services membres (MSP) 
doivent prouver qu'ils satisfassent aux critères d'évaluation de sécurité définis par leurs acquéreurs : 


1) Chaque année, un audit sur site doit être réalisé ou un questionnaire d’auto-évaluation PCI dûment 
rempli et renvoyé. La plupart des commerçants et prestataires de services doivent compléter chaque 
année un questionnaire conforme aux exigences PCI DSS. Vous pouvez le télécharger après avoir contacté 
le service de conformité PCI. 


2) Chaque trimestre, les risques de sécurité liés au commerce électronique doivent être mesurés et 
éliminés en utilisant un prestataire de services de scan agréé (ASV). Les rapports réseau qui indiquent 
l'état de conformité doivent être envoyés aux banques. Le scan doit être effectué sur l’ensemble du site 
commerçant ainsi que sur les composants réseau, les périphériques réseau et les applications, en 
conformité avec les normes PCI DSS. Les clients canadiens de cartes Visa, tout comme les clients US, 
doivent utiliser un ASV PCI (Approved scanning Vendor), tel qu’expliqué ci-dessus. Cependant les 
clients canadiens doivent envoyer leur questionnaire à un évaluateur de sécurité qualifié QSA PCI pour 
validation avant de l'envoyer aux banques acquéreuses. 
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Niveau du commerçant 


Veuillez trouver ci-dessous un tableau récapitulatif du niveau PCI du commerçant. Les scans de sécurité 
réseau pour chaque niveau sont notés comme suit : 


Niveau PCI  Critères/Exigences Date du critère de 
du conformité 
commerçant 
Niveau 1 Critères : MasterCard : 
- Tous les commerçants et les revendeurs e-commerce, 30 Juin 2005 
traitant plus de 6.000.000 de transactions par an 
- Tous les commerçants dont le compte a été bloqué Visa: 
- Tous les commerçants se conformant aux transactions de a ' bre 2004* 
Niveau 1 selon les normes PCI x “ben Te 
Nouveau Niveau 1 les 
Exigences : commerçants ont jusqu’à 
- Audit annuel un an pour s'identifier et 
- Scan de sécurité réseau trimestriel valider leur statut. 
Niveau 2 Critères : MasterCard : 
- Tous les commerçants et les revendeurs e-commerce 31 Décembre 2008 
traitant entre 1.000.000 et 6.000.000 de transactions par an 
- Tous les commerçants se conformant aux transactions de 
Niveau 2 selon les normes PCI , 
Exigences : Visa : f 
- Questionnaire d’auto-évaluation annuel A 2 
Scan réseau trimestriel 30 Septembre 2007 
Niveau 3 Critères : MasterCard : 
- Tous les commerçants et revendeurs e-commerce traitant 30 Juin 2005 
entre 20.000 et 1.000.000 de transactions par an Visa : 
- Tous les commerçants se conformant aux transactions de 2 À 2005 
Niveau 3 selon les normes PCI po 
Exigences : 
- Questionnaire d’auto-évaluation annuel 
- Scan réseau trimestriel 
Niveau 4 Critères : Consulter l'acquéreur 


- Tous les autres commerçants 
Spécificités : 

- Questionnaire d’auto-évaluation annuel 
- Scan réseau trimestriel 


Les commerçants de Niveau 1 doivent mener des audits sur site avec l’aide d’un consultant en interne ou 
un évaluateur de sécurité qualifié QSA PCI. 


Pour répondre aux différents critères, tous les commerçants doivent mener des scans de sécurité 
trimestriels avec l’aide d’un prestataire de services de scan agréé ASV. 


Les commerçants de Niveau 4 doivent se conformer aux normes PCI DSS. Les commerçants de Niveau 4 
peuvent consulter leur banque acquéreuse pour déterminer si une validation de conformité est 


nécessaire. 


Premiers pas 


Toutes vos interactions avec le service de conformité PCI se feront à travers notre application internet 
sécurisée, accessible à partir de n'importe quel navigateur Web. Une fois inscrit, vous recevrez un e-mail 
de confirmation d'inscription incluant un lien sécurisé pour obtenir le login utilisateur et le mot de passe 
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de votre compte. Le lien envoyé est à usage unique. L'e-mail inclut également l'URL du service de 
conformité PCI, vous pourrez vous y connecter grâce à l’application PCI. 


Connexion 


Avec votre login et votre mot de passe, vous pouvez accéder au service de conformité PCI. Pour cela, il 
suffit de lancer votre navigateur Web et saisir dans la barre d'adresse l'URL du service de conformité PCI. 
Entrez votre login et votre mot de passe puis cliquez sur « Connexion ». 


QuaiysGuarD: PCI 


| Payment Card Industry Compliance 


a 


Docu SECURITY 


Jim Bibles | Aide | Déconnexion 


Accueil 


Réseau 
È- Découverte 
È- Nouveau Scan 
È- Planification des 
Scans 
È- Résultats des Scans 
Vulnérabilités 
5 Historique des Faux- 
Positifs 
Conformité 
t- Etat de Conformité 
5 Rapports Envoyés 


Applications Web 

&- Nouveau Scan 

& Planification des 
Scans 

È- Résultats des Scans 


Questionnaires 
È- Questionnaires 
Sauvegardés 
È- Nouveau 
Questionnaire 
È- Preuves 
Compte 
Paramètres 
Assets IP 
Applications Web 
* Utilisateurs 
Support Client 
Ressources 


Accueil 


Scan Réseau 


PCI Network = 


Vulnerability 


Report 
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Scan 

Lancer un Scan 

Planifier un Scan 

Afficher Historique des Scans 
Afficher Etat Réseau 

Afficher Vulnérabilités 


Dernier Transmis : Jamais 
Prochaine Echéance : N/A 


Démarrer 

Remplir un Questionnaire 
Afficher Questionnaires 
Sauvegardés 


Dernier Transmis : 09/08/2009 
Prochaine Echéance : 09/09/2010 


Envoyer 
Questionnaire 
Rapports Réseau 


Télécharger Récent 
Questionnaire 
Rapport Exécutif 
Rapport Technique 


Scannez Votre Réseau 

Tous les commerçants et prestataires de services doivent 
procéder chaque trimestre à une scan de sécurité de leur 
réseau public externe. 


Pour déterminer l'état de votre réseau, tout d'abord ajoutez des 
adresses IP puis scannez votre réseau afin d'en découvrir les 
vulnérabilités. Pour plus d'informations, reportez-vous à FAQ 
QualysGuard PCI . 


Questionnaire d'Auto-évaluation 

Tous les commerçants et prestataires de services doivent 
compléter un questionnaire d'auto-évaluation afin de 
documenter leur niveau de sécurité. 


Le document doit être dûment complété et envoyé chaque 
année à votre banque . 


Envoyez Votre Score 
Votre attestation de conformité PCI peut être transmise à votre 
acquéreur soit électroniquement soit par courrier. 


Pour tout envoi par courrier, veuillez télécharger votre 
Questionnaire d'auto-évaluation, votre dernier Rapport Exécutif 
et Rapport Technique 


Les nouveaux utilisateurs devront lire et accepter l’ Accord Utilisateur avant d’être redirigés sur la page 
d'accueil. Cette page permet de se conformer aux exigences des normes PCI DSS et d’avoir une vue 
d'ensemble de l’état de conformité. 
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Liens d’accès rapides 


La section centrale de la page d'accueil dispose de liens d’accès rapides pour accéder aux tâches 
communes, à l’état de conformité du scan réseau ainsi qu’au questionnaire. 


État de conformité 


Le service indique l’état de conformité de chaque composant réseau, de la date la plus récente à la date 
limite d'envoi. Par exemple, la date la plus récente de scan réseau est le 13/04/2009, et la date limite 
d'envoi des rapports réseau est le 12/07/2009 (90 jours plus tard). 


Le questionnaire et le scan réseau sont non-conformes tant que vous n'avez pas achevé complètement ces 
processus et envoyé les rapports pour chaque composant utilisant le service de conformité PCI. Une 
encoche verte (@) en face d’un composant signifie que vous êtes conforme. Un sens interdit ( ®) en face 
d’un composant signifie que vous êtes non-conforme. Ces symboles de conformité sont régulièrement mis 
à jour. 

Remarque : lorsque vous vous connectez pour la première fois, aucun état de conformité n’est affiché 
pour les composants. Le terme ‘Jamais’ apparaît à côté de la date d'envoi la plus récente étant donné que 
vous n'avez pas encore envoyé de rapports sur la conformité aux banques acquéreuses. 


Modifier le login utilisateur & le Mot de passe (Optionnel) 


Lors de la création de votre compte, un login utilisateur ainsi qu’un mot de passe « fort » généré 
aléatoirement vous sont attribués. Si vous souhaitez modifier votre login et/ou mot de passe, il suffit de 
modifier les informations de votre compte utilisateur. Une fois les changements effectués, vous devrez 
vous reconnecter au service avec vos nouvelles informations de connexion. Pour modifier votre compte, 
cliquez sur Compte—-Utilisateurs (menu gauche). Repérez votre compte utilisateur (en gras), et cliquez 
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sur l'icône Hj. La page « Modifier utilisateur » s'affiche à l'écran. 


Informations sur l'Utilisateur 


Préfixe: Mr x 

* Prénom: Jim 

* Nom: [Bibles 
* Titre: Tester 


* Téléphone: [6508017759 
Fax: 
* Email: [ibibles@qualys.com 


Nom d'Utilisateur: jbibles@merchant Modifier votre nom d'utilisateur 
Mot de Passe: Changer le Mot de Passe 


Désactiver utilisateur: Į“ Désactiver utilisateur 


Pour modifier votre login, cliquez sur le lien « Modifier login utilisateur » puis saisissez votre login 
courant. Saisissez le nouveau login dans le champ ‘Nouveau login utilisateur’. Remarque : votre login 
utilisateur doit être unique et inclure le caractère ‘@ (ex : john@company). 
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Ajouter des utilisateurs (Optionnel) 


Le service de conformité PCI peut prendre en charge plusieurs utilisateurs. Vous pouvez rajouter des 
utilisateurs et partager avec eux des rapports sur la conformité PCI pour mieux déléguer votre travail. 
Tous les utilisateurs ont les mêmes privilèges pour accéder et gérer les questionnaires et les rapports 
réseau. 


Pour ajouter des utilisateurs, cliquez sur Compte—-Utilisateurs (menu gauche). Puis cliquez sur le lien 
‘Nouveau’ situé au-dessus de la liste des utilisateurs. Sur la page « Nouvel utilisateur » qui s'affiche à 
l'écran, renseignez vos informations de contact. 


E-mail — L’e-mail de l'utilisateur doit avoir un format valide (ex : john_doe@company.com). Assurez- 
vous de la validité de l'adresse avant tout envoi. 


Vérifier l’accès aux scanneurs d’adresses IP 


Important ! Le service scanne uniquement les adresses IP accessibles depuis Internet et fournit 
automatiquement plusieurs scanneurs pour effectuer un scan de sécurité du réseau. Ceux-ci sont fournis 
par le Centre des Opérations de Sécurité (SOC) qui héberge le service de conformité PCI. Voici les 
adresses IP des scanneurs : 


62.26.78.1-62.26.78.254 
62.210.136.129-62.210.136.254 
64.39.103.1-64.39.106.254 
64.39.110.1-64.39.111.254 
167.216.252.1-167.216.252.63 


En fonction de votre réseau, il peut être nécessaire d'ajouter les adresses IP des scanneurs à la liste de vos 
adresses de confiance, de sorte que votre service puisse envoyer des informations aux cibles scannées 
(adresses IP, applications Web). Vos systèmes de protection réseau doivent être configurés pour ne pas 
interférer avec le scan de vulnérabilité, comme indiqué dans le document PCI DSS: Security Scanning 
Procedures Version 1.1, dans la section « Scan procedures ». Ce document est disponible sur le site Web 
du Conseil des normes de sécurité PCI : 


https://www.pcisecuritystandards.org/ security standards/supporting documents.shtml 


Vos paramètres de compte 


L'application internet sécurisée affiche des informations importantes sur votre inscription, les banques 
acquéreuses, le nom de la banque ainsi que les comptes commerçants assignés aux différentes cartes de 
paiement. 


Pour consulter vos paramètres de compte, cliquez sur Compte—>Paramètres (menu gauche). Vérifiez les 
informations et si nécessaire, mettez-les à jour. Remarque : vous pouvez consulter le nombre total 
d'adresses IP acquises, le nombre total d'adresses IP de votre compte, vos preuves, et l’ Accord Utilisateur 
dans la section « Informations d'inscription ». 


Vos banques acquéreuses 


Le service de conformité PCI permet aux banques de consulter les documents de conformité PCI qui lui 
ont été transmis et de suivre l’état de conformité PCI des commerçants grâce à l'application internet 
sécurisée de la banque. Pour consulter la liste des banques, cliquez sur Comptes —>Paramètres (menu 
gauche) puis faites défiler la page jusqu’en bas pour accéder à la section « Informations bancaires ». 
Cliquez sur le lien ‘Modifier’ et consultez la liste des banques du menu « Nom de la banque » 
(Correspondant aux banques participantes). 


Si votre banque acquéreuse est une banque participante, alors cochez la case adaptée dans le menu 
« Nom de la banque », la banque pourra alors consulter les documents transmis et suivre l’état de 
conformité PCI grâce à l'application internet sécurisée. Vous pouvez ajouter jusqu’à cinq banques à votre 
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compte. Dès que vous envoyez des questionnaires et/ou des rapports réseau, vos banques pourront les 
consulter. 


Si votre banque acquéreuse n’est pas une banque participante, alors elle ne figurera pas dans le menu 

« Nom de la banque ». Faites défiler la page jusqu’en bas et cliquez sur la section « Autres banques » puis 
saisissez le nom de la banque dans le champ approprié. Si votre compte ne comporte aucune banque 
participante, celles-ci ne pourront accéder aux questionnaires et/ou rapports réseau que vous avez 
transmis. Vous devez télécharger les documents au format PDF et les envoyer à vos banques par vos 
propres moyens sans passer par l'application internet sécurisée. 


Obtenir de l’aide en cours de travail 


Aide en ligne 


L'aide en ligne est accessible depuis l'interface utilisateur en cliquant sur le lien « Aide » situé dans le 
coin supérieur droit de votre écran. A partir de l’aide en ligne, utilisez les boutons ‘Sommaire’, 
‘Index’, et ‘Rechercher’ pour trouver rapidement des informations. 


Contacter notre assistance 
N'hésitez pas à nous faire parvenir vos commentaires, remarques, ou questions. Pour envoyer un e- 
mail à notre assistance, cliquez sur « Contacter assistance » (menu gauche). 


Ressources 


A tout moment vous pouvez consulter les ressources des exigences de conformité PCI. Pour consulter 
cette section, cliquez sur « Ressources » (menu gauche). 


e Lisez la FAQ PCT pour en savoir plus sur le service de conformité PCI. 

e Consultez le site Web du PCI Security Standards Council pour obtenir des informations récentes 
sur les normes PCI DSS. 

+ Consultez également les sites Web des marques de paiement et leurs normes PCI. 
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Scanner votre réseau 


Les normes PCI DSS exigent que tous les commerçants et les prestataires de services effectuent des scans 
de sécurité trimestriels de leur réseau. Pour déterminer l’état de votre réseau, vous devez d’abord ajouter 
des adresses IP (si les adresses cibles ne figurent pas déjà dans votre compte), puis effectuer un scan de 
vulnérabilité. 


Scannez votre réseau par segment et refaites un scan de vulnérabilité pour les adresses IP cibles jusqu'à 
réussir l'évaluation PCI DSS. Le scan par segmentation vous permet de scanner uniquement les hôtes 
présents sur votre réseau. Lorsque les vulnérabilités ont été corrigées et que l'évaluation PCI DSS est 
réussie, vous pouvez envoyer les rapports réseau aux banques acquéreuses. Les rapports réseau 
permettent d'obtenir un compte-rendu de l’état de conformité du réseau en fonction du scan le plus 
récent pour chaque adresse IP présente de votre compte. 


Vue d’ensemble 
Veuillez lire les informations suivantes relatives aux scans réseau. 


IP cibles — Vous pouvez démarrer un scan réseau pour toutes les adresses IP de votre compte ou 
uniquement pour celles sélectionnées. Remarque : assurez-vous qu'il y ait des adresses IP dans votre 
compte. Si ce n’est pas le cas, il vous sera demandé d'ajouter des adresses IP. Vous pouvez ajouter des 
adresses IP à votre compte ou démarrer un scan de découverte pour rechercher des adresses IP actives, 
connectées à Internet sur votre réseau. Ajoutez ces IP sur votre compte à partir des scans de découverte. 
Cf. Chapitre « Gestion des adresses IP de votre compte ». 


Paramètres de scan— Les paramètres de scan sont optimisés par défaut pour l'évaluation PCI DSS. Il n'y 
a qu'un seul paramètre qui puisse influer sur les performances du scan, il s’agit de la ‘bande passante’. 
Vous pouvez choisir entre plusieurs niveaux de bande passante, avec pour chaque niveau différentes 
configurations. Il est vivement conseillé d'utiliser le niveau de bande passante par défaut (Moyen) pour 
débuter. Au moment de démarrer le scan vous pouvez sélectionner un autre niveau. 


Événements de scan — Plusieurs événements se produisent durant un scan : découverte d'hôtes, scan des 
ports, détection du système d’exploitation, découverte des services et évaluation de la vulnérabilité. Ces 
événements sont explicités dans l’aide en ligne du service de conformité PCI. 


Statut Scan & Rapports — Lorsque le scan réseau est terminé, un e-mail de compte-rendu de scan vous 
est envoyé avec l’ensemble des résultats obtenus. Cliquez sur le lien inclut dans l’e-mail pour vous 
reconnecter au service. Revenez à la section « Résultats de scan » pour consulter le statut du scan et 
télécharger les résultats. Toutes les vulnérabilités détectées lors du scan ainsi que les méthodes pour les 
corriger sont affichées. Après avoir scanné et corrigé les vulnérabilités, cliquez sur la section 

« Conformité » pour sauvegarder et envoyer les rapports réseau PCI à vos banques 
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Processus 

Étape 1 : Gestion des adresses IP de votre compte 
Étape 2 : Démarrer un nouveau scan réseau 
Étape 3 : Gestion des scans réseau 

Étape 4 : Afficher les vulnérabilités courantes 
Étape 5 : Fixer les vulnérabilités & Rescanner 


Étape 6 : Envoyer des requêtes de faux-positifs 


Gestion des adresses IP de votre compte 


Vous pouvez gérer les adresses IP de votre compte pour les scans et les évaluations PCI DSS. Il est de 
votre responsabilité de vérifier que vous avec reporté toutes les adresses IP à scanner. Le nombre 
maximum d'adresses IP que vous pouvez ajouter à votre compte est égal au nombre d'adresses IP 
acquises lors de votre inscription. Pour consulter l’ensemble des adresses IP acquises, cliquez sur 

« Compte—-Paramètres » (menu gauche). Sur la page « Paramètres », cliquez en bas sur la section 
« Informations d'inscription ». 


Vous pouvez consulter le nombre total d'adresses IP acquises ainsi que le nombre total d'adresses IP de 
votre compte. 
Afficher toutes les adresses IP 


Avant de supprimer ou d'ajouter de nouvelles adresses IP à votre compte, vérifiez celles qui sont déjà 
présentes. Pour cela, cliquez sur Compte—>Gestion des adresses IP (menu gauche). 


Vous obtenez la liste de toutes les adresses IP de votre compte (s’il y en a) 
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Ajouter des IP 


Pour ajouter des adresses IP, cliquez sur le bouton « Ajouter des IP » sur la page « Gestion des adresses 
IP ». Dans le champ approprié, saisissez les adresses IP et/ou plages d'adresses IP à ajouter à votre 
compte. Séparez chaque adresse IP ou plage d'adresses par une virgule. Puis cliquez sur « Ajouter ». 


Lorsque vous ajoutez des adresses IP, l'application internet sécurisée ne vérifie pas si les adresses IP 
saisies sont accessibles à partir d'Internet. C’est ce qui se produit après avoir démarré un scan. Seules les 
adresses IP accessibles à partir d'Internet sont scannées. 


Supprimer des IP 


Vous pouvez supprimer des adresses IP de votre compte ou envoyer une requête à l'assistance technique 
pour qu'elle le fasse. 


Pour supprimer des adresses IP, cliquez sur le bouton « Supprimer des IP » sur la page « Gestion des 
adresses IP ». Dans le champ approprié, saisissez les adresses IP et/ou plages d'adresses IP à supprimer 
de votre compte. Lisez les instructions d’aide affichées à l’écran pour supprimer les adresses IP ou 
envoyer une requête à l'assistance technique pour qu’elle le fasse. 


REMARQUE : 


e Les scans planifiés sans valeur cible provoqueront une erreur à l'exécution. 

e Les adresses IP seront supprimées de votre compte et ne figureront pas dans l’état du réseau. 

+ Les QID détectés précédemment pour les adresses IP supprimées sont effacés de la liste 
‘Vulnérabilités courantes’. 

e Les informations relatives aux précédents scans et les rapports qui ont été envoyés ne seront pas 
modifiés. 

e Les adresses IP supprimées ne peuvent être incluses aux futurs rapports. Pour inclure une 
adresse IP ayant été supprimée, vous devrez ajouter et rescanner les adresses IP. 


Scan de découverte 


Vous pouvez démarrer un scan de découverte pour identifier les hôtes actifs sur votre réseau (hôtes 
connectés à Internet) et les hôtes inactifs de votre compte. Les résultats fournissent les processus 
permettant d'ajouter de nouvelles adresses IP à votre compte et d'en supprimer certaines. 


Pour effectuer un scan de découverte, cliquez sur le bouton « Scan de découverte ». Spécifiez un titre 
pour votre scan, puis sélectionnez un niveau de bande passante, et saisissez les adresses IP /plages 
d'adresses à scanner. La valeur cible peut inclure une combinaison d'adresses IP relatives ou non à votre 
compte. Cliquez ensuite sur « Ok » pour démarrer le scan. 


Le scan s'exécute en tâche de fond, vous pouvez quitter l'application PCI tout en laissant le scan se 
poursuivre. À tout moment vous pouvez consulter le statut du scan. Pour revenir à la liste ‘Scans de 
découverte’, cliquez sur Réseau—>Découverte (menu gauche). 


Lorsque le scan est terminé, un e-mail de notification de compte-rendu du scan de découverte vous est 
envoyé. L'e-mail inclut un lien pour accéder directement à l'application PCI afin de consulter les 
résultats du scan de découverte. Aidez-vous des processus figurant dans les résultats du scan de 
découverte pour ajouter /supprimer des adresses IP dans votre compte. 
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Démarrer un nouveau scan réseau 


Lorsque vous démarrez un scan réseau des composants, vous pouvez scanner toutes les adresses IP 
figurant dans votre compte ou uniquement celles qui ont été sélectionnées. Cf. Chapitre « Gestion des 
adresses IP de votre compte » pour apprendre à ajouter / supprimer des adresses IP mais également à 
démarrer un scan de découverte et trouver des adresses IP sur votre réseau. Les paramètres de scan 
renseignés par défaut sont optimisés pour effectuer l'évaluation PCI DSS. Il n’y a qu'un seul paramètre 
qui puisse influer sur les performances du scan, il s’agit du paramètre ‘bande passante ‘.Il est vivement 
conseillé d'utiliser le niveau de bande passante par défaut (Moyen) pour débuter. 


Vous avez la possibilité de démarrer le scan directement ou ultérieurement en fonction de la date et de 
l'heure. 


Pour démarrer un scan réseau, cliquez sur Réseau—>Nouveau scan (menu gauche). S'il n’y a pas 
d'adresses IP dans votre compte, vous devrez les saisir manuellement. 


La page « Nouveau scan » s'affiche à l'écran. 


© UALYSGUARD” PCI Docu SECURITY 
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Paramètres de scan 


Titre — Le titre de scan est défini par l'utilisateur. Le titre apparaît dans la liste ‘Résultats de scan’ 
(Réseau—Résultats de scan) et ‘Rapport des résultats de scan’. 


Bande passante — Sélectionnez un niveau de bande passante. Il est vivement conseillé d'utiliser le 
niveau de bande passante par défaut (Moyen) pour débuter (15 adresses IP peuvent être scannées en 
parallèle). Les options disponibles sont : Élevé, Moyen (the default), Impact http Moyen - faible, et Faible. 
Pour de plus amples informations cliquez sur le lien ‘Info’. 
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IP cibles — Sélectionnez les adresses IP à scanner. Vous pouvez saisir des adresses IP ou des plages 
d'adresses IP, séparées par une virgule. Si vous sélectionnez ‘Toutes les IP”, toutes les adresses IP de votre 
compte seront scannées. Si vous sélectionnez ‘Sélectionner les IP’, seules les adresses IP sélectionnées 
seront scannées. Saisissez les adresses IP cibles dans le champ en question ou cliquez sur le lien 
‘Sélectionner les IP’ pour choisir les adresses IP à partir d’une liste. 


Démarrer le scan 


Sélectionnez l’une des options suivantes : 


e Démarrer maintenant — Démarre le scan immédiatement. 

e Planifier ultérieurement — Planifier le scan à une date/heure ultérieure. Vous pouvez également 
planifier un scan récurrent sur une base hebdomadaire ou quotidienne. Cf. Chapitre 
« Planificateur de scans ». 


Sauvegarder le scan 


Cliquez Ok pour sauvegarder le scan. Si vous avez sélectionné ‘Démarrer maintenant’ alors le scan 
démarre immédiatement. La section « Scan en cours » indique que le scan a été démarré avec succès. 


je 
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Lecia ‘Résultats de Scan’. Si vous souhaitez générer un Rapport sur la conformité PCI à 


i soumettre à votre banque, aller à la section ‘Etat de conformité’. 
~ Nouveau Scan 


+ Planification des 
Scans 
~ Résultats des Scans 
* Vulnérabilités 
*- Historique des Faux- 
ge ~ 
Positifs San Rank PCI 
Status Report 
m 


LA 
m 


Conformité 
*- Etat de Conformité 
* Rapports Envoyés 


Applications Web 
+ Nouveau Scan 
Scans 
È- Résultats des Scans 
Questionnaires 


+ Questionnaires 


z Revenez à la section Résultats de scan’ Une fois le scan terminé, aller à la section 
Sauvegardés 


g pour voir l'état d'avancement de votre scan ‘Etat de conformité’ pour générer un 
~ Nouveau | et télécharger les résultats une fois ce Rapport sur la conformité PCI à soumettre 
Questionnaire dernier terminé. à votre banque 
+ Preuves 
Compte 
+ Paramètres 
+ Assets IP 
+. Applications Web 
È- Utilisateurs 
Support Client 
Ressources 


© 2009 Qualys, Inc. Déclaration nfidentialité 


Le scan s'exécute en tâche de fond, vous pouvez quitter l'application PCI tout en laissant le scan se 
poursuivre. 


Cliquez sur « Résultats de scan » — Cette section vous permet de suivre le statut du scan et de l’annuler (si 
nécessaire). Vous pouvez annuler un scan en cours d'exécution puis télécharger le ‘Rapport des résultats 
de scan’. Cf. Chapitre « Gestion des scans réseau » pour en savoir plus. 


Cliquez sur « État de conformité » — Cette section vous permet de connaître l’état de conformité des 
hôtes de votre compte. Voir « Afficher état de conformité » pour en savoir plus. Lorsque le scan des hôtes 
est terminé, vous pouvez générer des rapports réseau à envoyer aux banques acquéreuses. 
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Planificateur de scans 


Sur la page « Nouveau scan », vous pouvez planifier un scan unique pour une date donnée ou planifier un 
scan récurrent sur une base hebdomadaire ou quotidienne. Sélectionnez l'option « Planifier 

ultérieurement ». Vous devez spécifier la date et l'heure du scan. Vous pouvez cocher l'option 
‘Récurrent’, si vous souhaitez répéter ce scan. 


Då © Démarrer Maintenant 
émarrer : pi 
@ Lancer Ultérieurement 


Planificateur 


Sélectionner une date et une heure à laquelle démarrer le scan. 


* Lancer le : | Octobre 7] 31 -| 2009 H- 
SA 00 | 00 -| GMT -07 | 


Répétition: [7 Répéter ce scan tous les P jours -| à 00:00 GMT -07 


Démarrer le — Sélectionnez le mois, le jour et l’année pour démarrer le scan planifié. Utilisez l'assistant 
d'affichage du calendrier pour vous aider. 


A l'heure — Sélectionnez l'heure à laquelle le scan planifié doit être lancé. Sélectionnez les heures et les 
minutes au format 24 heures. Le fuseau horaire GMT s'adapte automatiquement à votre configuration 
système. Vous pouvez sélectionner un autre fuseau GMT à partir du menu principal. 


Récurrent — Si vous souhaitez qu’un scan planifié se répète dans le temps sur une base quotidienne ou 
hebdomadaire, cliquez sur le lien ‘Répéter ce scan’. Si vous souhaitez répéter le scan quotidiennement, 
sélectionnez un nombre de jour(s) compris entre 1 et 31. Pour répéter le scan sur une base hebdomadaire, 
sélectionnez un nombre de semaine(s) entre 1 et 13. Les scans récurrents seront démarrés à la date 
spécifiée (sauf en cas de suppression). 


Après avoir cliqué sur « Ok », votre scan planifié s'affiche dans la liste ‘Scans planifiés’ (Réseau —> Scans 
planifiés). Vous pouvez consulter, modifier ou supprimer les scans en attente qui figurent sur cette liste. 


Si une valeur cible est définie pour toutes les adresses IP de votre compte, alors l'application internet 
sécurisée scannera l’ensemble des adresses IP. Par exemple : si vous planifiez un scan sachant qu'il y a 2 
adresses IP dans votre compte puis que vous en ajoutez une troisième avant de démarrer le scan, le 
service scannera 5 adresses IP. 


La section « Résultats de scan » vous permet de consulter le statut du scan. Pour les scans démarrés 
immédiatement, vous recevrez par e-mail une notification de compte-rendu de scan. 
Modifier le scan planifié 


Vous pouvez modifier n'importe quel scan réseau dans la liste ‘Scans planifiés’ (Réseau—>Scans 
planifiés) pour apporter des modifications aux paramètres de scan (titre, bande passante et IP cibles) 
et aux paramètres de planification (Date / Heure & Récurrent). 
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Vous pouvez modifier un scan planifié et le désactiver. Cochez la case « Désactiver cette planification » 
(comme illustré ci-dessous) pour désactiver le scan planifié. 


o 


© Démarrer Maintenant 


Démarrer : á 
€ Lancer Ultérieurement 


Planificateur 


Sélectionner une date et une heure à laquelle démarrer le scan. 


* Lancer le : | Janvier “1110 =| [2009 z] _ 
*A: 00 ~] 00 ~] GMT -07 ~] 


Répétition: [7 Répéter ce scan tous les |2 jours v| à 00:00 GMT -07 


I Déactiver ce Scan Planifié 


Lorsqu'un scan planifié est désactivé, ce dernier ne se lancera pas à l'heure qui était prévue. Si vous 
souhaitez réactiver le scan planifié, cochez la case « Désactiver cette planification ». 


L'application internet sécurisée désactivera les scans planifiés pour les cas suivants : votre compte 
commerçant est désactivé ou a expiré. Si vous réactivez votre compte, vous pouvez modifier les scans 
planifiés puis les réactiver. Un scan planifié est également désactivé si toutes les adresses IP cibles sont 
supprimées pour votre inscription. Modifiez le scan planifié pour changer de scan cible. 


La liste ‘Scans planifiés’ (Réseau—>Scans planifiés) regroupe l’ensemble des scans planifiés. Lorsqu'un 
scan planifié est désactivé, le titre de scan et la date de prochain démarrage apparaissent en grisé, si vous 
placez votre curseur au-dessus du titre de scan le message suivant s’affichera à l'écran : « Désactiver le 
scan planifié ». 


E-mail de compte-rendu de scan 


Lorsque le scan est terminé, vous recevrez une notification par e-mail de compte-rendu de scan contenant 
un lien pour accéder à l'application PCI. Vous pourrez ainsi vous reconnecter pour consulter les résultats 
du scan. L’e-mail contient diverses informations spécifiques au scan : titre, date de début de scan, nom de 
la personne qui a effectué le scan, nombre d'hôtes actifs, et état de conformité PCI. 


De : QualysGuard PCI Support Envoyé : Mardi 20/01/2009 12:12 Pour : Ivan Slater 
Sujet : QualysGuard PCI Compte-rendu de scan 
E-mail compte-rendu - QualysGuard PCI. Titre Scan : Scan 10.10.10.118 


Démarré le : 20/01/2009 à 12:00:06 (GMT -08) Durée : 00:11:54 


Hôtes cibles : 1 

Hôtes actifs : 1 

Effectué par : Ivan Slater (ivanl@acme) Entreprise : Acme Services 
Type : Sur demande 

Statut Scan : Terminé 

État de conformité PCI :  Non-conforme 
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Pour consulter les informations des résultats de scan, connectez-vous à l'application 
Web PCI QualysGuard sur le lien suivant 


https://pci.qualys.com/merchant/ 


Pour de plus amples informations, veuillez contacter l'assistance Qualys 


support@qualys.com 


(c) 2009 Qualys, Inc. Tous droits réservés. http://www.qualys.com 


L’échantillon ci-dessus affiche le compte-rendu des scans effectués. Dans le cas présent, l'évaluation de 
conformité PCI est dit « Non-conforme ». Cela signifie qu'il existe au moins une vulnérabilité ou 
vulnérabilité potentielle, selon les normes PCI DSS définies par le PCT Council. Ces vulnérabilités 
doivent être fixées pour réussir l'évaluation PCI DSS. Cliquez sur le lien de l'e-mail qui vous a été 
envoyé pour vous reconnecter à l'application PCI pour afficher les résultats complets du scan. 


Gestion des scans réseau 


La section « Scans réseau » affiche l’historique complet des scans de votre réseau. Vous pouvez consulter 
cette section à tout moment. Cliquez sur Réseau—>Résultats de scan (menu gauche). Vos scans 
s'exécutent en tâche de fond, vous pouvez à tout moment quitter l'application PCI même si des scans 
sont en cours. 


Après avoir lancé le premier scan, il ne reste qu’un seul scan dans la liste. Cette liste sera amenée à 
s'agrandir. 


@uarysGuaro PCI C 
Payment Card Industry Compliance Jim Bibles | Aide | Déconnexion 


Une fois le scan terminé, aller à la section ‘Etat de Conformité pour 
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-NoweaScan 


* Planification des | 

Scans | Œ Nouveau M Rechercher 0 © 1-60f6 z] DIDIS) 

È- Résultats des Scans Détails| Rescanner|_ Téléch: Vulnérabilités | Titre du Scan | Etat du Scan | Date du Scan _ /| Conformité | Annuler 
ulnérabilités © 


Accueil 


Test Terminé 20/10/2009 


-Vuinér ® B en ° © 
Rae des Faux- © ® GA mOn FR FR test 2 Terminé 18/10/2009 a © 
PR ® ® g Os English 2 Terminé 17/10/2009 o © 
VEtat de Cononnié © ® g mOn French R test 2 Terminé 17/10/2009 o © 
* Rapports Envoyés © ® 4 Le French R test English Terminé 16/10/2009 o © 
Applications Web © ® B WNI  TestFrench Terminé 13/10/2009 o © 
tie Détails | Rescanner| Ti Vulnérabilités | Titre du Scan Etat du Scan | Date du Scan __/| Conformité | Annuler 
* Planification des a 
. Scans 
<- Résultats des Scans ur 
E 5 Détails du Scan 
Mere Titre: Test 
ares Démarré le: 20/10/2009 at 14:07:40 
Sauvegardés A a 
L Lancé Par: Jim Bibles 
Komeat Type: A la demande 
. Questionnaire Ype: 
LPreuves Bande Passante: Moyenne 
c Etat du Scan: Terminé 
ampie: IP Cibles: 10.10.25.7-10.10.25.9 
* Paramètres 


ssets IP 
pplications Web 
È- Utilisateurs 
Support Client 
Ressources 


© 2009 Qualys, Inc. Déclaration de Confidentialité 


18 Guide De Démarrage- Service De Conformité PCI 


Cliquez sur « État de conformité » — Vous pourrez consulter l’état de conformité PCI général pour toutes 
vos adresses IP de votre compte. Vous pourrez également générer un rapport réseau PCI pour les 
banques. 


Gestion des scans 
Annuler — Cliquez sur l'icône @| pour arrêter le scan en cours. 


Nouveau — Cliquez sur ce lien (au-dessus de liste des scans) pour démarrer un nouveau scan. La page 
« Nouveau scan » s'affiche à l'écran, vous devez renseigner les paramètres. 


Rescanner — Cliquez sur l'icône @ pour démarrer un nouveau scan avec les paramètres du scan 
précédent. La page ‘Nouveau scan’ s'affiche à l'écran avec les paramètres pré-remplis, dont la bande 
passante, le titre, et les IP cibles. Pour un scan planifié, la date de départ est automatiquement ajustée à 
la date actuelle (les autres paramètres du planificateur sont inchangés). 


Rechercher — Cliquez sur ce lien pour rechercher un scan spécifique dans la liste. Vous pouvez effectuer 
une recherche par titre, statut du scan, date de scan et état de conformité. 


Consulter les informations de scan 


Détails — Cliquez sur l'icône (3 pour afficher les détails du scan pour une tâche spécifique : titre du 
scan, date de scan, utilisateur qui a lancé le scan, statut du scan, IP cibles, scan démarré sur demande ou 
planifié, et bande passante. 


Télécharger — Cliquez sur l'icône & pour télécharger les ‘Résultats du scan’ au format PDF. La section 
« Résultats détaillés » du rapport affiche l’ensemble des vulnérabilités qui ont été détectées par le service 
au moment du scan. Toutes les vulnérabilités et vulnérabilités potentielles de type PCI FAILED (ECHEC) 
doivent être fixées pour répondre aux exigences de conformité PCI. Cf. Chapitre « Rapports réseau — 
Résultats détaillés » pour de plus amples informations et avoir un aperçu écran. 


Vulnérabilités — Cliquez sur l'icône WAW pour afficher la liste de vulnérabilités courantes associées 
aux adresses IP cibles du scan. Les vulnérabilités courantes sont celles détectées par le scan le plus récent 
pour chaque hôte. C’est pour cette raison, que la liste des vulnérabilités courantes dispose de plus 
d'informations à jour que le Rapport des résultats du scan. Cf. Chapitre « Fixer les vulnérabilités & 
Rescanner » pour obtenir de plus amples informations. 


Conformité — Permet de savoir si le scan est conforme aux normes PCI DSS. Une encoche verte (@) 
indique que le scan est Conforme. Il n'existe aucune vulnérabilité qui doit être fixée pour les adresses IP 
cibles. Un sens interdit ( ©) indique que le scan est ‘Non-conforme’. Une ou plusieurs vulnérabilités 
doivent être fixées pour passer réussir l'évaluation PCI DSS. 


A propos du système de classification des vulnérabilités 


Le calcul de l’état de conformité PCI SUCCÈS / ÉCHEC dépend des normes définies par le PCI Council. 
Vous pouvez les consulter sur l'URL suivante : 


http:/ / www.qualys.com / products/pci/qgpci/pass fail criteria / 
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Le service de conformité PCT classifie les vulnérabilités par niveau de vulnérabilité et par niveau de 
sévérité. 


Niveau de vulnérabilité Description (Niveau de sévérité) 


Vulnérabilité Une erreur de conception ou mauvaise 
configuration qui rend votre réseau (ou un hôte de 
votre réseau) vulnérable à des attaques locales ou 
distantes. (Niveau de sévérité 1 à 5) 


Vulnérabilité potentielle Une vulnérabilité dont l'existence ne peut être 
confirmée à 100%. Il existe au moins un critère 
indiquant qu'il y a une vulnérabilité. Il est 
vivement recommandé d'effectuer une recherche 
approfondie. (Niveau de sévérité 1 à 5) 


Informations recueillies Une vulnérabilité comprenant des informations 
spécifiques au réseau : hôte(s), informations 
traceroute, Fournisseurs d'Accès Internet (FAI), 
liste d'hôtes joignables, pare-feu détectés, bannières 
SMTP, services ouverts. (Niveau de sévérité 1 à 3) 


Pour voir les définitions relatives aux niveaux de sévérité lors de la consultation d’un rapport, 
reportez-vous à la rubrique ‘Légende du rapport’ dans la section « Annexes ». 


Gestion des processus (vulnérabilités) 


Afficher les vulnérabilités courantes — La liste ‘Vulnérabilité courantes’ affiche les vulnérabilités 
récentes détectées pour les adresses IP de votre compte suite aux scans réseau. 


Envoyer des requêtes de faux-positifs — Dans certains cas, vous pouvez demander à ce qu’il y ait une 
exception pour un couple vulnérabilité / adresse IP, c’est ce qu’on appelle un faux-positif. 


Afficher l'historique des faux-positifs — Vous pouvez consulter les faux-positifs envoyés par les 
utilisateurs : statut courant, détails de la requête, historique des commentaires. 


Afficher le rapport technique des faux-positifs approuvés— L’annexe ‘Détails des faux-positifs approuvés” 
dans le rapport technique PCI fournit toute la liste des vulnérabilités courantes approuvées comme faux- 
positifs pour les hôtes du rapport. 


Afficher les vulnérabilités courantes 


La liste des vulnérabilités courantes regroupe l’ensemble des vulnérabilités et vulnérabilités potentielles 
détectées pour les adresses IP de votre compte suite aux scans réseau. Il s’agit de vulnérabilités détectées 
par les derniers scans réseau pour chaque hôte de votre compte. Toutes les vulnérabilités détectées sont 
listées, y compris celles qui doivent être fixées pour réussir l'évaluation PCI. Pour chaque vulnérabilité 
vous pouvez consulter les informations détaillées et corriger rapidement les vulnérabilités. 


Pour consulter la liste des vulnérabilités courantes, cliquez sur Réseau—>Vulnérabilités (menu gauche). 
Le service affiche automatiquement toutes les vulnérabilités et vulnérabilités potentielles des adresses IP 
de votre compte. Vous pouvez afficher les vulnérabilités en fonction de leurs attributs (Voir la page 
suivante). 
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Afficher les vulnérabilités courantes 


La liste des vulnérabilités courantes regroupe l’ensemble des vulnérabilités et vulnérabilités potentielles 
détectées pour les adresses IP de votre compte (derniers scans réseau). S'il n’existe pas de paramètres 
pour les rapports sélectionnés, toutes les vulnérabilités des adresses IP de votre compte seront affichées. 
Si les paramètres du rapport sont sélectionnés, la liste se restreint uniquement aux vulnérabilités qui 
correspondent à vos critères de recherche. 


Pour chaque vulnérabilité le service recense toutes les informations des scans réseau : ID de Vulnérabilité 
(QID) ; Titre de Vulnérabilité ; Sévérité, Adresse IP ; Nom d'hôte; Date du premier scan (Scanné). Un sens 
interdit (@) dans la colonne PCI signifie que la vulnérabilité doit être fixée pour réussir l'évaluation PCI 
DSS. La colonne ‘Faux-positifs’ indique le statut d’une requête faux-positif (Approuvé/Refusé). Cliquez 
sur l'icône (5 en face d’un élément de la liste pour afficher le détail des vulnérabilités. 


Les requêtes de faux-positifs peuvent être consultés et gérés à partir de la liste ‘Vulnérabilités courantes” 
et dans la section « Historique faux-positifs » — Cf. Chapitre « Afficher l'historique des faux-positifs ». 


Rechercher des vulnérabilités 


La section « Paramètres du rapport de vulnérabilité » s'affiche au-dessus de la liste des vulnérabilités. 
Vous pouvez consulter différents paramètres de recherche. Pour effectuer une recherche, sélectionnez les 
paramètres des rapports puis cliquez sur le bouton « Exécuter » (situé à droite). 


Vous pouvez effectuer des recherches par ID de Vulnérabilité (QID) ; Titre de Vulnérabilité ; Sévérité ; 
Adresses IP cibles ; Vulnérabilités et requêtes de faux-positifs - Approuvé ou Refusé. Cochez la case 

« Afficher uniquement les vulnérabilités PCT » pour afficher la liste des vulnérabilités à fixer pour réussir 
l'évaluation PCI DSS. 
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Effectuer des actions 


Utilisez la barre d’action située au-dessus de la liste ‘Vulnérabilités courantes’ pour effectuer certaines 
actions. Les boutons ci-dessous vous permettent d'effectuer des actions : 


. 


Tout télécharger. Cliquez pour télécharger un rapport des vulnérabilités courantes au format 
CSV. Remarque : Toutes les vulnérabilités courantes détectées sur les hôtes sont incluses au 
rapport, même si vous avez sélectionné les paramètres dans les paramètres du rapport de 
vulnérabilité et/ou la liste des vulnérabilités (en cochant les cases). 

Afficher faux-positifs. Sélectionnez les vulnérabilités à partir de la liste en cochant les cases (dans 
la colonne de gauche) puis cliquez sur le bouton « Afficher faux-positifs » pour afficher les détails 
des vulnérabilités et envoyer des requêtes de faux-positifs. Cf. Chapitre « Envoyer requêtes de 
faux-positifs ». 


Afficher les informations de vulnérabilité 


PCI — Vous remarquerez que la colonne PCI indique si la vulnérabilité doit être fixée pour satisfaire aux 
exigences PCI DSS. Un sens interdit ( ©) indique que la vulnérabilité n’a pas satisfait aux critères de 
conformité PCI et qu’elle doit être fixée. 


Détails — Cliquez sur l’cône Š situé à côté de la vulnérabilité pour obtenir des informations, dont les 
résultats de l'évaluation de scan pour les vulnérabilités d’un hôte en particulier. Les détails s'affichent 
dans le panneau de prévisualisation. Faites défiler la page jusqu’en bas pour obtenir de plus amples 
informations : description de la menace, conséquences de l’exploit de la vulnérabilité, et méthodes à 
mettre en œuvre pour fixer cette vulnérabilité. 
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Fixer les vulnérabilités & Rescanner 


Après avoir fixé les vulnérabilités, démarrez un autre scan réseau et vérifiez l’état de conformité du 
réseau. Vous pouvez effectuer un scan pour des hôtes sélectionnés afin de vérifier l’état de conformité. 
Scannez les hôtes cibles, recherchez les vulnérabilités puis validez les vulnérabilités qui ont été corrigées. 


Vous pouvez scanner votre réseau par segment et corriger /rescanner les vulnérabilités des adresses IP 
cibles afin de réussir l'évaluation PCI DSS. Un scan par segmentation permet de scanner les hôtes déjà 
corrigés, sans avoir à rescanner l’ensemble du réseau. Un rapport sur la conformité permet d'établir un 
compte-rendu de conformité pour chaque adresse IP de votre réseau. 


Rescanner les hôtes pour vérifier la conformité 


Après avoir fixé des vulnérabilités critiques, démarrez un nouveau scan réseau. Vous pouvez démarrer 
un scan pour les hôtes sélectionnés afin de vérifier l’état de conformité. Un scan par segmentation vous 
permet de scanner les hôtes déjà corrigés, sans avoir à rescanner tout votre réseau. Un scan réseau 
permet de scanner les hôtes et de rechercher des vulnérabilités afin de valider celles précédemment 
corrigées. 


Vérifier l’état de conformité 
Pour consulter l’état de conformité de votre réseau, cliquez sur Conformité —-État de conformité. 


Cf. Chapitre « Conformité réseau » pour de plus amples informations sur l’état de conformité, en 
particulier l’état de conformité du réseau et celui de chaque hôte. 


Envoyer des requêtes de faux-positifs 


Vous pouvez obtenir une erreur (pour un hôte spécifique) même après avoir fixé toutes les vulnérabilités 
selon les exigences des normes PCI DSS. Ce peut être une exception que vous nous enverrez par 
l'intermédiaire d’une requête de faux-positifs. 


Avant d’initier ce type de requête, suivez les étapes ci-dessous : 


e __ Travaillez conjointement avec votre administrateur système pour fixer toutes les vulnérabilités 
suite au scan réseau. Chaque vulnérabilité regroupe des informations détaillées et une solution 
spécifique. 

e __ Rescanner après avoir fixé les vulnérabilités afin de valider la conformité du système. Vous 
pouvez scanner le réseau autant de fois que vous le souhaitez. 

e Avant d'envoyer une requête de faux-positifs, assurez-vous que toutes les vulnérabilités aient 
été corrigées. Le scan le plus récent doit afficher uniquement les problèmes spécifiques aux faux- 
positifs. 


Si vous avez suivi scrupuleusement les instructions ci-dessus et pensez que le service de conformité PCI a 
identifié un faux-positif au cours de votre scan, alors lisez les étapes ci-dessous pour savoir comment faire 
parvenir à notre assistance technique une requête de faux-positifs. 


Envoyer des requêtes de faux-positifs 


1. Cliquez sur Réseau—>Vulnérabilités (menu gauche). 
2. Vous pouvez également utiliser l'option Rechercher dans la section « Paramètres du rapport de 
vulnérabilité » pour afficher la liste des vulnérabilités. 
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3. Cochez la case située à gauche de chaque vulnérabilité à inclure dans votre requête et cliquez sur le 
bouton « Afficher faux-positifs ». Remarque : Vous ne pouvez pas cocher une vulnérabilité non 
nécessaire à l'évaluation PCI DSS. 
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4. Sur la page « Requête de faux-positifs », fournissez des détails précis relatifs à la vulnérabilité et les 
raisons pour lesquelles vous pensez qu’il s’agit d’un faux-positif (voir copie d'écran ci-dessous). 
Indiquez les étapes qui vous permettent de dire qu’il s'agit d’un faux-positif. Une erreur se produira si 
vous sélectionnez une vulnérabilité sans fournir d’autres explications. 


Dans le cas où vous sélectionnez plusieurs vulnérabilités, vous pouvez fournir une seule explication 
pour l’ensemble des requêtes en cochant la case « Utiliser le même commentaire pour toutes les 
requêtes ». 
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Lorsque vous envoyez une requête de faux-positifs, un e-mail est également envoyé à l'assistance 
technique pour révision. Un technicien vous contactera pour déterminer s’il s’agit en effet d’un faux-positif 
puis vous enverra un e-mail avec sa réponse. 
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Approuvé — Si la requête de faux-positifs est approuvée, la vulnérabilité spécifique à l’hôte sera 
supprimée du ‘Rapport des résultats du scan’. La vulnérabilité pour l'hôte en question n'apparaîtra pas 
dans le ‘Rapport des résultats du scan’ pour les futurs scans de l'hôte. La vulnérabilité de l'hôte est 
supprimée automatiquement de la liste ‘Vulnérabilités courantes’. La section « Conformité » est mise à 
jour automatiquement et vous indique que la vulnérabilité de l’hôte ne provoquera pas d’échec à 
l'évaluation PCI DSS. Lors de la prochaine génération de rapports réseau PCI, les rapports indiqueront 
que les vulnérabilités de l'hôte ne provoqueront pas d'échec à l'évaluation PCI DSS. Dans le rapport 
technique, la vulnérabilité de l’hôte est affichée comme faux-positif dans l’annexe « Détails des faux- 
positifs approuvés ». 


Refusé — Si la requête des faux-positifs est refusée, vous devez fixer la vulnérabilité afin de satisfaire 
aux critères de conformité PCI. Consultez la section « Solution » relative aux détails de vulnérabilité. 


Afficher l’historique des faux-positifs 


La page « Historique des faux-positifs » vous permet d'afficher et gérer les requêtes de faux-positifs. Pour 
consulter l'historique des faux-positifs, cliquez sur Réseau—-Historique faux-positifs (menu gauche). 
Toutes les requêtes utilisateur y sont répertoriées 
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Voici les informations affichées pour chaque requête de faux-positifs : ID de Vulnérabilité (QID) ; Titre de 
Vulnérabilité ; Adresse IP de l'hôte vulnérable ; Date d'envoi de la requête utilisateur; Date de consultation 
& Mise à jour de la requête par un consultant, Statut faux-positifs (Requis, Approuvé, ou Refusé). 


Cliquez sur l'icône ® en face de la requête pour afficher les détails et l'historique des commentaires. 
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Pour trier la liste, sélectionnez une colonne et cliquez sur son titre. Cliquez sur le lien ‘Rechercher’ pour 
rechercher des requêtes par ID de Vulnérabilité (QID) ; Titre de Vulnérabilité ; Statut de la requête et/ou 
adresses IP hôte. 


Vous pouvez également gérer des requêtes de faux-positifs à partir de la liste ‘Vulnérabilités courantes’. 
Cf. Chapitre « Afficher les vulnérabilités courantes ». 


Afficher le rapport technique des faux-positifs approuvés 


L’annexe « Détails des faux-positifs approuvés » s'affiche dans le ‘Rapport technique PCT afind’aider les 
utilisateurs à gérer les vulnérabilités. Cf. Chapitre « Envoyer vos rapports réseau » pour de plus amples 
informations. L’annexe affiche la liste Vulnérabilités approuvées comme faux-positifs’ relative aux hôtes 
du rapport. 


La liste des faux-positifs regroupe les vulnérabilités courantes approuvées pour les hôtes du rapport. En 
aucun cas ne figure les approbations pour les vulnérabilités non détectées par les scans les plus récents. 


Annexes 
Détails des faux-positifs approuvés 


Ci-contre gure une liste de toutes les vulnérabilités approuvées comme huxpositit pour les hôtes de ce rapport 
Les approbations qui fgurent pour les vulnerabilites non deétectées par les scans les plus récents ne sont pas inclus. 


GITE 5  Muhiple Vendor SNMP Request and Trap Handing Vuherabities 


OID: 78035 CVSS bese: 10 

pariP 

Adresse IP Protocole Port SSL Date d'approbation 
10. 10.10.101 NO 0606/2008 


DIN | 4  Mutiple Oracle £i Listener Vulnerabilities 


OID: 10055 CVSS base: 10 

þarip 

Adresse IP Protocole Poet sst Date d'approbation 
10.10.10.104 TCP 1521 NO 0606/2008 


sus 3  Netf20S Name Corndiot Vulnerability 


QiD: 70008 CVSS base: 5 

pariP 

Adresse IP Protocole Port SSL Date d'approbation 
10.10.10.104 NO 0606/2008 


Pour chaque faux-positif approuvé, le service affiche les informations suivantes : 
e Vulnérabilité (Sévérité ; Titre ; QID ; Score CVSS). 
e Hôte sur lequel une vulnérabilité a été détectée (adresse IP). 
e Détails sur la détection de la vulnérabilité : protocole de transport TCP / UDP, numéro de port, 
activation ou non du SSL. 
e Date d'approbation de la requête des faux-positifs. 
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Conformité réseau 


La section « Conformité » indique l’état de conformité PCI du réseau et des hôtes. 


Afficher l’état de conformité 


La section « Conformité » indique l’état de conformité PCI du réseau et des hôtes. L'état de conformité 
général du réseau est dit ‘Conforme’ si tous les hôtes sont conformes. Un hôte est dit ‘Conforme’ 
lorsqu’aucune vulnérabilité n’a été détectée suite à scan. Les vulnérabilités PCI sont des vulnérabilités qui 
doivent être fixées pour satisfaire à l'évaluation PCI DSS. Le service de conformité PCI permet de 
déterminer la période adéquate pour effectuer un scan, 30 jours avant la date actuelle. 


Pour afficher l’état de conformité, cliquez sur Conformité—>Etat de conformité (menu gauche). Vous 
pouvez obtenir de plus amples informations à partir du tableau ‘État de conformité’ et de la liste ‘Statut 
des hôtes’. 
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État de conformité général — Permet de savoir si le réseau est conforme aux normes PCI DSS. Le réseau 
regroupe toutes les adresses IP de votre compte. Une encoche verte (@) indique que le réseau est 
‘Conforme’. Un sens interdit (@) indique que le réseau est ‘Non-conforme’. 


Hôtes — Indicateurs du statut de l'hôte figurant dans votre compte. 


Guide De Démarrage- Service De Conformité PCI 27 


Statut de l’hôte Description 


Compte Nombre total d'hôtes de votre compte, donc de votre réseau. 


Non actif Nombre total d'adresses IP dans votre compte considérés comme inactifs 
après le scan réseau. Ces adresses IP ont été spécifiées en tant qu'’IP cibles 
pour les scans effectués à partir de votre compte. L'application internet 
sécurisée n’a pas pu trouver l'hôte pendant le scan de découverte (première 
phase du scan). Assurez-vous que les hôtes sont connectés à votre réseau et 
accessibles sur Internet 


Les hôtes inactifs provoqueront un échec à l'évaluation PCI DSS. Remarque : 
ces hôtes seront identifiés dans les rapports réseau PCI que vous 
transmettrez aux banques acquéreuses afin de prouver votre conformité. Il 
n’est pas possible de déterminer si vous avez satisfait aux critères des normes 


PCT. 
Conforme Nombre total d'hôtes de votre compte ‘Conforme’ aux normes de sécurité PCI 
Non-conforme Nombre total d'hôtes de votre compte ‘Non-conforme” 


aux normes de sécurité PCI. 


Non à jour Nombre total d'hôtes de votre compte ‘Non à jour’. 


Un hôte de votre compte est considéré comme ‘Non à jour’ si le dernier scan 
remonte à plus de 30 jours ou qu'il n’a jamais été scanné. 


Le service de conformité PCI détermine la meilleure période pour effectuer 
un scan 30 jours avant. Afin de réussir l'évaluation PCI, il faut effectuer un 
scan et il ne doit y avoir aucune vulnérabilité. 


Les vulnérabilités et vulnérabilités potentielles — Nombre total de vulnérabilités courantes et 
vulnérabilités potentielles (à chaque niveau de sévérité) détectées sur le réseau. Dans le cas présent il 
s'agit des vulnérabilités qui ne satisfont pas aux exigences des normes PCI et qui doivent être fixées. 


Actions — Cliquez sur l'icône ‘Générer’ pour générer des rapports réseau PCI en fonction des 
informations sur les vulnérabilités courantes de votre réseau. 


Liste du statut des hôtes 


La liste ‘Statut des hôtes’ affiche l’état de conformité des hôtes de votre compte. La liste ‘Interactif vous 
permet d'afficher certains hôtes dans la liste, afficher des détails relatifs aux hôtes, et effectuer des 
actions pour les hôtes : démarrer un scan, afficher les vulnérabilités courantes et télécharger des rapports. 
Les informations relatives aux hôtes sont fournies selon les derniers scans effectués. 


Tous les hôtes actifs de votre compte sont affichés dans la liste par défaut ‘Statut des hôtes’. Pour chaque 
hôte, l'application internet sécurisée recense l’ensemble des informations sur l'hôte (adresse IP, nom 
d'hôte, système d'exploitation, etc.) ainsi que l’état de conformité de l'hôte indiquant si ce dernier est 
conforme aux normes PCI. 
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Cliquez sur une adresse IP dans la liste ‘Statut des hôtes’ pour afficher des informations sur l’hôte dans 
le panneau de prévisualisation. 


P Scanner | afficher vuinérabitée | TéÉcharger rappor Hal: -242 BE 
M IP à | Momd'hôte | Systè me d'exploitation | Conf mité | Wulnérabilités | Date de scan 
F 101010118 nttsp3-3vuin qa quairs.com Windows NT4 o 27 23092008 
Linux 2.4-2.6 / Embedded Devite / 5 
Iy F 101010135 No registered hostname F5 Networks Big- o 1 23092008 
if 
Compte r 
Famen fes z = a 
: Détails de l'hôte 
SÉPARER 
p pica dons Web z 
a z IP: 10.10.10.118 Nieau5 MEMME 4 hicous DENON : 
matun z z x 
Nom d'hôte: nt4sp3-3 vuln qa qualys. com Neeau 4 MENE 1 Niveau 4 DE) 2 
Contacter assistance SE: Windows NT4 Niveau 3 MEN 6  Nveau3 BD 4 
Ressources Rapport: Derniers résultats de scan C} Niveau 2 WE 3 Nieau 2 DIM 0 
2 0 


Niveau 1 M Niveau 1 M ” 
4 » 
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Sélectionner les hôtes à afficher 


Tous les hôtes actifs sont affichés par défaut dans la liste ‘Statut des hôtes”. Cliquez sur l’un des boutons 
suivants pour afficher certains hôtes : 


e Tous les hôtes actifs. Cliquez sur ce bouton pour afficher tous les hôtes actifs (en cours 
d'exécution et connectés sur Internet) depuis le dernier scan réseau. 

e  Hôtes inactifs. Cliquez sur ce bouton pour afficher les hôtes inactifs depuis le dernier scan 
réseau. Lorsque vous affichez des hôtes inactifs, vous pouvez démarrer un scan sur ces hôtes en 
cliquant sur le bouton « Scanner maintenant ». 

e  Hôtes non à jour. Cliquez pour afficher les hôtes non à jour. Un hôte de votre compte est dit ‘Non 
à jour’ si le scan a eu lieu il y a plus de 30 jours à partir de la date courante ou s’il n’a jamais été 
effectué. Lorsque vous affichez les hôtes non à jour, vous pouvez démarrer un scan spécifique à 
ces hôtes en cliquant sur le bouton «Scanner maintenant ». Vous pouvez également supprimer ces 
hôtes en cliquant sur le bouton « Supprimer hôtes ». 


Effectuer des actions sur les hôtes 


Utilisez la barre d'action située au-dessus de la liste ‘Statut des hôtes’ pour effectuer certaines actions sur 
un ou plusieurs hôtes de la liste. Sélectionnez les hôtes en cliquant sur les cases à cocher (colonne de 
gauche) et une action. Les boutons suivants permettent d'effectuer certaines actions : 


e Scanner. Cliquez sur ce bouton pour démarrer un scan. 
e Afficher vulnérabilités. Cliquez sur ce bouton pour afficher les vulnérabilités courantes. 
e Télécharger rapport. Téléchargez le rapport des vulnérabilités courantes (format PDF). 


Le rapport des vulnérabilités courantes affiche les vulnérabilités les plus récentes pour les 
scans réseau des hôtes sélectionnés. Si vous cliquez sur les cases à cocher (liste des hôtes) 

puis sur ‘Télécharger rapport’, seuls les hôtes sélectionnés seront affichés. La section 
‘Résultats détaillés’ affiche les vulnérabilités courantes et potentielles ainsi que les informations 


recueillies. Toutes les vulnérabilités et vulnérabilités potentielles de type PCI FAILED (ÉCHEC) doivent 
être fixées pour satisfaire aux exigences des normes PCI DSS. 
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Envoyer vos rapports réseau 


L'application internet sécurisée fournit les rapports suivants : Rapport exécutif PCI & Rapport technique 
PCI. Les rapports réseau regroupent des informations sur les vulnérabilités courantes des scans réseau et 
affichent les adresses IP de votre compte. 


Lorsque toutes les vulnérabilités ont été corrigées et vérifiées suite à un autre scan, vous pouvez alors 
générer un rapport réseau et le transmettre automatiquement ou manuellement à vos banques 
acquéreuses. Le processus permet de générer des rapports réseau au format PDF et de les sauvegarder 
dans votre compte. Si des banques acquéreuses sont répertoriées dans votre compte (Cf. Chapitre « Vos 
paramètres de compte »), le processus transmet automatiquement les rapports réseau à vos banques. Dans 
le cas contraire, vous devez télécharger les rapports et les transmettre manuellement. Les rapports 
transmis ont une validité de 90 jours à compter de la date d'envoi. 


Voici une description du processus permettant de générer, sauvegarder et transmettre des rapports 
réseau. 


Générer des rapports réseau 


1. Cliquez sur Conformité —-État de conformité (menu gauche). 

2. Vérifiez l’état général du réseau. En haut de la page, l’état général indique si votre réseau est 
conforme avec une encoche verte (@) et s’il n’y a pas de vulnérabilités. 

3. Cliquez sur l'icône Générer. Un pop-up « Rapports réseau - Confirmer envoi » s'ouvre et affiche un 
bilan de l’état du réseau. 

4. Faites défiler la page jusqu’en bas et saisissez les informations des rapports à envoyer aux banques 
acquéreuses : le titre et vos commentaires afin d'établir un suivi. Si des hôtes non-conformes ont été 
détectés, rédigez un commentaire pour chacun d’entre eux. 


Banques de votre compte 


Vos rapports reseau seront envoyés aux banques suivantes : 


Worldwide Banik 


Informations d'envoi 


Tire d'envoi: | Rapportréseau PCI 2006 O2 


Commentaire général : 


Commentaires pour chaque hôte non-conforme 


Adresse IP Nom d'hôte Nombre total de vulnérabiliés Commentaires 
Générer | Annuler | 
© 2009 Qualys, Inc. Déchmion de antieniaki 
5. Cliquez sur le bouton « Générer ». Lors de la génération du rapportun pop-up s'affiche avec des 


messages d'états. Important ! Lors de la génération du rapport, ne fermez pas ou ne quittez pas la 
page. Si vous quittez la page, les rapports ne seront pas sauvegardés dans votre compte. 
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Afficher les rapports réseau 


Lorsque les rapports réseau ont été générés, le service affiche le message ‘Génération du rapport 
terminée. Veuillez consulter les rapports avant tout envoi’. 


Génération du rapport ter minée. Veuillez consulter les rapports avant tout envoi 


Gaficher rapport exécutif 

Aficher rapport technique 
Cliquez sur le bouton "Sauvegarder & Envoyer" pour sauvegarder vos rapports réseau etles envoyer par voie électronique aux banques de votre compte. 
Si vous n'avez aucune banque de sélectionnée, les rapports seront sauvegardés et pourront être téléchargés ultérieure ment 


Cliquez sur le bouton "Abandonner" pour quitter le dux de travail sans sauvegarder ou envoyer de rapports. 


souhaitez fire parvenir vos re marques au FCI Security Sandards Council, veuillez re mplir le £r mulaire ASVdisponible sur le site Web = 


https lwww pcisecuntystandards. org 


Sauvegarder & Envoyer] Abandonner | 


Cliquez sur le lien « Afficher rapport exécutif » pour consulter le rapport exécutif PCI. Cliquez sur le lien 
« Afficher rapport technique » pour consulter le rapport technique PCI. Vous pouvez télécharger ces 
rapports directement sur votre système et les partager avec d’autres utilisateurs. 


Ces rapports affichent les vulnérabilités courantes pour les scans réseau les plus récents. Dans tous les 
vulnérabilités spécifiques aux adresses IP figurent dans votre compte. Si vous souhaitez laisser un 
commentaire au PCI Security Standards Council, allez sur leur site Web et remplissez le formulaire ASV. 


Sauvegarder & Envoyer 


Sauvegarder & Envoyer — Cliquez sur ce bouton pour sauvegarder les rapports réseau PCI de votre 
compte et les soumettre électroniquement aux banques de votre compte. Le rapport exécutif PCI et le 
rapport technique PCI seront envoyés aux banques si vous avez activé l’envoi électronique. Pour les autres 
banques, téléchargez et imprimez les rapports réseau puis envoyez-les par e-mail. 


Abandonner — Cliquez sur ce bouton pour fermer le processus sans sauvegarder/envoyer les rapports. 


Les rapports réseau PCI qui ont été sauvegardés s'affichent dans la liste ‘Rapports envoyés’ dans votre 
compte où vous pouvez les consulter et les télécharger. Vous pouvez consulter cette liste n’importe 
quand. Cliquez sur Réseau—>Rapports envoyés. 

Options d’envoi 


Vous avez la possibilité d'envoyer des rapports réseau électroniquement ou manuellement. 


Si vos banques acquéreuses sont des banques participantes et qu’elles sont définies dans votre compte, 
alors elles peuvent se connecter au service de conformité PCI pour consulter les rapports réseau PCI que 
vous avez envoyé. Remarque : les banques acquéreuses ne peuvent accéder aux rapports qui n’ont pas été 
envoyés. 


Si vos banques acquéreuses ne sont pas des banques participantes, alors vous devrez télécharger les 
rapports réseau au format PDF et les envoyer à la banque par e-mail. 


Cf. Chapitre « Vos banques acquéreuses » pour savoir si vos banques sont des banques participantes. 


Guide De Démarrage- Service De Conformité PCI 31 


Télécharger les rapports réseau envoyés 


1. Cliquez sur Conformité—>Rapports envoyés (menu gauche). 

2. Sélectionnez un rapport réseau : 

e Cliquez sur l'icône [sous ‘Afficher rapport exécutif’ pour télécharger le rapport exécutif au 
format PDF. 

e Cliquez sur l'icône sous ‘Afficher rapport technique’ pour télécharger le rapport technique 
au format PDF. 

Ouvrez ou téléchargez le rapport au format PDF. 

4. Chaque rapport comprend une page de couverture avec le nom de l’entreprise, les informations 
de contact, un compte-rendu exécutif, l’état de conformité PCI et les annexes des rapports avec 
de plus amples informations. 


œ 


Rapports réseau — État de conformité PCI 


La section « État de conformité PCI » affiche les rapports réseau : Rapport exécutif PCI & Rapport 
technique PCI. 


La section « État de conformité PCI » affiche également l’état de conformité PCI pour chaque hôte. 
État de conformité PCI général — Un état de conformité SUCCÈS indique que tous les hôtes du 


rapport ont réussi l'évaluation PCI DSS. Un état de conformité ÉCHEC indique qu’il existe au moins un 
hôte dans le rapport qui a échoué à l'évaluation PCI DSS. 


Statut hôte PCI — Chaque hôte scanné est listé par adresse IP. Le risque de sécurité de l’hôte est égal au 
plus haut niveau de sévérité détecté sur l'hôte. On peut donc savoir si l'hôte a réussi ou échoué à 
l'évaluation. Un état de conformité SUCCÈS pour un hôte/IP indique qu’il n’y a pas de vulnérabilités ou 
vulnérabilités potentielles, telles que définies par les normes PCI DSS. Un état de conformité ÉCHEC 
indique qu'il existe au moins une vulnérabilité ou vulnérabilité potentielle, comme défini par les normes 
PCI DSS. 


Le tableau ci-dessous affiche l'État de conformité PCI général : SUCCÈS. 


Etat de conformité PCI 


Le tableau ci-dessous afiche l'Eat de confor mité FCI général et spécifique à chaque systè me 


[_ État de conformité PCI SUCCÈS 


Adresses IP actives scannées Score de sécurité Etat de conformité PCI 
10.10.10.47 00 SUCCES v 
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Le-tableau ci-dessous affiche l'État de conformité PCI général : ÉCHEC. 


Etat de conformité PCI 


Le tableau ci-dessous afiche l' Bat de confor mité FCI général et spécifique à chaque système 


[ État de conformité PCI ECHEC 


Adresses IP actives scannées Score de sécurité Etat de conformité PCI 


10.10.10.1 RER  : ECHEC X 


10.10.10.47 00 SUCCES y 


Adresses IP actives non scannes Score de sécurité Etat de conformité PCI 


10. 10.10.10 Inconnu Échec X 


Un hôte figure dans la liste « Adresse IP actives non scannées » lorsque le statut de l’hôte est Inactif ou 
Non à jour. 


Inactif — Un hôte est dit ‘Inactif’ s’il c’est une adresse IP cible qui n’a pas été détectée pendant un scan. 
L'hôte n’a pas été démarré et/ou convenablement configuré sur le réseau pour accéder à Internet. 


Non à jour — Un hôte est considéré ‘Non à jour’ s’il n’a pas été scanné pendant une d'évaluation suivant 
la configuration du service de conformité PCI. 


Rapports réseau — Résultats détaillés 


La section « Résultats détaillés » figure dans les rapports suivants : Rapport de résultats détaillés ; Rapports 
des vulnérabilités courantes ; Rapport technique PCI. 


La section « Résultats détaillés » du rapport affiche toutes les vulnérabilités et vulnérabilités potentielles 
détectées, classées par hôte. Chaque hôte scanné est identifié par son adresse IP et son nom d’hôte DNS. 
Pour chaque hôte, une liste de vulnérabilités (rouge), vulnérabilités potentielles (jaune) et autres 
informations recueillies (bleu) s'affiche à l'écran. 


Les vulnérabilités de type ÉCHEC renvoient à l'hôte un état de conformité ÉCHEC. Toutes les 
vulnérabilités et vulnérabilités potentielles de type ÉCHEC doivent être corrigés afin de satisfaire aux 
critères de la norme PCI. Les vulnérabilités qui ne sont pas de type ÉCHEC affichent toutes les 
vulnérabilités qui ont été trouvées par le service de conformité pour chaque hôte. Bien que ces 
vulnérabilités n'aient pas un impact direct sur la conformité PCT, nous vous recommandons de les 
corriger en fonction de leur niveau de sévérité. 


Pour chaque vulnérabilité détectée, le service fournit une description du type de menace, les 
conséquences possibles en cas d’exploit de la vulnérabilité et une solution éprouvée pour fixer ce 
problème. D’autres informations sont également disponibles : sévérité de la vulnérabilité, catégorie & 
référence (CVE ID, Bugtraq ID, etc). 
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L’illustration se rapport à la section « Résultats détaillés ». Au total, 19 vulnérabilités ont été détectées 
sur l'hôte ayant comme adresse IP : 10.10.10.1. La première vulnérabilité de la liste est 


QID 43128, niveau de sévérité 5 et score CVSS de 10.0. Cette vulnérabilité est de type ÉCHEC et doit être 
fixée pour satisfaire aux exigences de l'évaluation PCI DSS 


Résultats détaillés 


10,10.10.101 (cisc02600.vuin.qa.qualys.com,-) Cisco IOS Version 12,1(5)T10 
> | CEE ES SEE :° 


Vulnérabilités (17) 


BEIEN $ Milöples vulnérabilités C SCO TC AIP 


aO aane CVSS Base 0 ECHEC PCI X 
Catgoné brel CVS Tepos ay 

119 CVE-2007 4480 

Réfrenc vendeur Cinoo-42 2000 0124-<confen)-Ag-Opion, Wosa SOON aap 

6v ID . 

Demière mise à jour: 1082007 

MENLCE: 


Leswhémbéés TC MIPembihbls à dince exisentdansksrouturs C ECO etles swiths bumantæus C ECO OS 
etcærbneswersns de CISCO KE XR. 


Ce bpe de whémbié peutéte emhite aprés l'envoi chl de paquets TC AIP 


IMPACT : 
Si ces vulnérabilités sont exploitées avec succès, l'attaquant peut provoquer un déni de service ou per mettre l'exécution 
de code arbitraire. 


SOLUTION : 
Cisco a mis à disposition des utilisateurs un logiciel gratuit pour #xer cette vulnérabilité. 


Solution alternative : 
Dans les réseaux compatibles IPv4, le fit de désactiver IPv4 sur les périphériques IOS per mettra d'éviter de s'exposer 
à ces menaces. 


RESULTAT : 

O5 version Cao 105 Venos 12 T10 

O5 version Cho niensis Ope ang Syrien Sotwwre 

109 (va) C2000 Soawere (CA0O-JSÉ0-M). Varsha 12 105710. RELEASE SOFTWARE 3 
TAC Suppoft Mp rawra CCD ONAC 


BEIE 4 \ühémbék C ECO RoutunSwikh Mbtde passe par dèut 


Ov 401 CSS Bate . ECHEC PCI X 
Catgoriè Mbëriel CSS Terpara 

CE 10 ° 

Réfrence vendeur - 

Gv#sai0 


Demière mise à jour : 137042008 


Rapports réseau — Annexes 
La section « Annexes » s'affiche dans tous les rapports réseau PCI. 


Différents annexes sont fournis en fin de rapport afin de fournir des informations sur les hôtes scannés, 
non scannés, les paramètres de scan utilisés et une légende du rapport. 


Hôte scanné — Recense l’ensemble des hôtes scannés avec succès. 


Hôtes non scannés — Recense l’ensemble des hôtes non scannés en raison de leur inactivité au moment 
du scan (aucune réponse de retour lors du scan). 


Options de profile — Recense les options de scan et options avancées définies dans l'option profil PCI. 
Les options de scan permettent de modifier la manière dont les informations sont recueillies : hôtes 
cibles lors du scan, évaluation des vulnérabilités, etc. 


Légende du rapport — Décrit les symboles/ critères utilisés pour les niveaux de vulnérabilité et de 
sévérité (vulnérabilités, vulnérabilités potentielles et autres informations). 


Détails des faux-positifs approuvés (Rapport technique PCI) — Ensemble des faux-positifs de votre 
compte lors de la génération du rapport. Cf. Chapitre « Afficher le rapport technique des faux-positifs 
approuvés » pour de plus amples informations et obtenir un aperçu écran. 
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Scanner les applications Web 


Le service de conformité PCI permet de scanner des applications Web (Web Application Scanning -WAS) 
afin d'aider les clients à satisfaire aux normes PCI DSS 6.6 en matière de sécurité des applications Web. La 
sécurisation des applications Web s'appuie sur l’utilisation de diverses options. Jusqu'au 30 Juin 2008 
cette technique faisait partie des meilleures pratiques, aujourd’hui elle est devenue obligatoire. 


Le PCI Council a publié un document de clarification en Avril 2008 relatif aux Exigences 6.6, nommé PCI 
DSS: Information Supplement: Requirement 6.6 Code Reviews and Application Firewalls Clarified. Ce document 
est disponible sur le site Web du PCI Security Standards Council : 


https://www.pcisecuritystandards.org/security standards / supporting documents.shtml 


Le service de conformité PCI fournit un module WAS qui permet aux utilisateurs de parcourir 
simultanément plusieurs applications Web, détecter des failles de type XSS (Cross-Site Scripting), les 
vulnérabilités par injection SQL, et de mener des scans authentifiés et non authentifiés afin de faire la 
distinction entre les utilisateurs autorisés de ceux non autorisés. La solution WAS permet d’automatiser 
les fonctions de détection de vulnérabilités comme celles issues du OWASP Top 10 & WASC-TC, mais 
également les injections SQL et XSS. Le module WAS combine des patterns de reconnaissance et de 
comportement pour identifier les vulnérabilités. 


Utilisez les processus de l'application pour ajouter dans un premier temps les applications Web (si celles- 
cine figurent pas dans votre compte), puis scanner vos applications pour détecter des vulnérabilités. Pour 
chaque scan d'application Web, les résultats affichent l’ensemble des vulnérabilités détectées. Les 
résultats affichés doivent être revus et corrigés par un professionnel. 


Vous pouvez scanner des applications Web à partir de votre compte lorsque le module Web Application 
Scanning (WAS) est activé pour votre inscription. Le module WAS module peut être activé lors de la 
période d'évaluation. Si vous souhaitez activer cette fonctionnalité, contactez notre assistance technique. 


Vue d'ensemble 
Veuillez lire les informations ci-dessous en ce qui concerne le scan des applications Web. 


Application Web Cible— Vous pouvezscanner une application Web à partir de votre compte. Avant de 
commencer, assurez-vous que l’application Web qui est à scanner soit présente dans votre compte (Cf. 
Chapitre « Gestion des applications Web de votre compte »). Vous pouvez ajouter des applications Web 
(vous ou un autre utilisateur) pour une même inscription. Remarque : celles-ci ne peuvent être ajoutées 
par le gestionnaire de votre compte. 


Paramètres de scan — Les paramètres de scan par défaut sont optimisés pour évaluer la sécurité des 
applications Web selon les exigences PCI Requirement 6.6. Il existe deux options de gestion des 
performances. Le paramètre ‘Bande passante’ influe directement sur les performances du scan. Différents 
niveaux de bande passante sont disponibles, chacun d’entre eux dispose de plusieurs types de 
configuration. Il est vivement recommandé d'utiliser le niveau de bande passante pardéfaut (Moyen) 
pour débuter. L'option ‘Parcourir seulement’ vous permet de définir un scan qui va parcourir 
l'application Web sans effectuer d'évaluations de vulnérabilité. Nous vousrecommandons d'utiliser 
l'option ‘Parcourir seulement pour le premier scan 


Événements de scan — Différents événements se produisent au cours d’un scan. Les techniques de Web 
Crawling et/ou de découverte de liens nécessitent d’initier des requêtes, de parser des pages HTML 
pour le scan des paramètres et d'interagir avec l'application Web. Les scans sont généralement statiques 
(en-têtes HTTP, contenus HTML, réponses des applications). Lesévaluations de vulnérabilité nécessitent des scans 
dynamiques des applications Web. 


Suivi automatisé des performances de scan — Lors d’un scan d'application Web, le moteur de scan 
enregistre les temps de réponse du serveur cible de l'application Web. Ce processus se lance au cours du 
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scan d’une application Web, lors d'un Web Crawling ou pendant un scan de données ou des évaluations 
de vulnérabilité. Si le moteur de scan détecte une tendance générale à la baisse des temps de réponse de 
l'application Web, alors le moteur de scan ajustera le délai jusqu’à ce que la tendance générale revienne à 
un état normal. 


Parcourir & Découvrir les liens — Le Web Crawler parcourt une application Web pour un nom d'hôte ou 
une adresse IP spécifique. L'application Web peut être un hôte physique ou plusieurs hôtes qui sont 
regroupés sous une même adresse IP virtuelle. Le Web Crawler parse (analyse et exécute) les pages 
HTML et en extrait des liens statiques, JavaScript, ou personnalisés. 


Suivi des liens. Le Web Crawler parcourt automatiquement les liens suivant le nombre de clics et la 
structure du site (liens de même niveau), et il effectue un suivi des liens déjà parcourus. Le Web Crawler 
peut rapidement couvrir la quasi-totalité du site sans refaire un scan des liens récursifs et redondants. La 
liste des liens parcourus est identifiée dans les résultats du scan par QID 150009 Links Crawled. 


Nombre maximum de liens à parcourir. Le Web Crawler parcourt jusqu’à 5 000 liens pour chaque 
application Web. Le nombre de liens comprend les formulaires d'envoi, liens pour les utilisateurs 
anonymes et les utilisateurs authentifiés. Chaque utilisateur configure ses scans. 


Liens externes. Les liens externes ainsi que les formulaires d'action présents ne sont pas parcourus. Le 
terme « externe » se réfère aux liens découverts sur un autre FQDN ou une autre adresse IP que celle de 
l'hôte de départ. Ils sont considérés comme des vulnérabilités dans les résultats du scan avec ‘QID 150010 
External Links Discovered’ et ‘QID 150014 External Form Actions Discovered’. 


Liste noire. Important ! Le scan automatisé d'applications Web peut provoquer la perte de vos données. 
Cette fonctionnalité évite au Web Crawler d'envoyer certains types de requêtes. 


Authentification — L’authentification des formulaires HTML est facultative. Lorsque l’authentification 
est activée pour une application Web, le Crawler effectue une tentative d’authentification au formulaire 
de connexion. En cas de succès, le Web Crawler passe aux liens du formulaire d'action, puis rassemble 
les informations relatives au scan et continue. 


Les techniques suivantes sont supportées : 
Authentification serveur HTTP. 


Formulaire d’authentification simple. Il s’agit des formulaires avec des champs nom d'utilisateur et mot 
de passe. Le scanneur complète ces champs automatiquement. 


Les formulaires d’authentification qui utilisent du code JavaScript pour modifier les propriétés ou autres 
valeurs ne sont pas gérés automatiquement. Les utilisateurs fournissent des cookies de session pour 
contourner le processus d’authentification. 


CAPTCHA et les mots de passe d’authentification uniques ne sont pas supportés. Ils peuvent bloquer les 
scans automatisés ou disposer de limites de temps aboutissent au même résultat 
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Évaluations de vulnérabilité WAS — Les évaluations de vulnérabilité (QID) effectuées par le moteur de 
scan pour une application Web permettent à l'utilisateur de découvrir les vulnérabilités courantes. Les 
évaluations de vulnérabilité WAS sont effectuées uniquement sur les applications Web et non les scans 
réseau. Ces évaluations permettent différentes recherches : 


e __ Vulnérabilités XSS : Persistance ; Réflexion ; En-têtes ; Navigateur 
e  Vulnérabilités par Injection SQL : Classique et en aveugle 
Les évaluations de vulnérabilité supplémentaires permettent de récolter de plus amples informations sur 


les applications lors du scan : liens parcourus, liens externes découverts, formulaires d'action externes, 
informations sur les hôtes, et autres diagnostics. 


Statut et résultats de scan — Lorsque le scan est effectué, un compte-rendu de scan est envoyé par e- 
mail avec l’ensemble des résultats. Cliquez sur le lien dans l'e-mail pour vous reconnecter au service (si 
nécessaire). Revenez à la section « Résultats de scan » pour afficher le statut du scan et télécharger les 
résultats. Toutes les vulnérabilités qui ont été détectées et les instructions pour les corriger sont 
mentionnées. Les résultats du scan doivent être revus par un professionnel de la sécurité qui pourra 
envisager les étapes de correction nécessaires pour se conformer aux normes PCI DSS. 


Processus 

Etape 1 : Gestion des applications Web de votre compte 
Etape 2 : Démarrer un nouveau scan réseau 

Etape 3 : Gestion des scans d’applications Web 

Etape 4 : Télécharger & Afficher les résultats de scan 


Gestion des applications Web de votre compte 


Vous pouvez ajouter de nouvelles applications Web à votre compte selon le nombre maximum indiqué 
dans vos paramètres. Les autres utilisateurs inscrits ont les mêmes privilèges. Remarque : le gestionnaire 
de compte ne peut ajouter des applications. 


Assurez-vous de reporter toutes les applications à scanner. 
Le nombre maximum d'applications que vous pouvez ajouter à votre compte est égal au nombre 


d'applications achetées lors de votre inscription. Pour afficher toutes les applications achetées, cliquez 
sur Compte—>Paramètres (menu gauche). Sur la page « Paramètres », allez sur la section « Informations 
d'inscription ». Vous verrez un champ nommé ‘Applications achetées’. 


Pour supprimer une application Web, veuillez envoyer une requête à notre assistance technique. 


Le module WAS peut être activé lors d’une évaluation. Lorsque la période d'évaluation a expiré, vous ne 
pouvez plus ajouter / modifier des applications et effectuer des scans sur le Web. 
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Ajouter une nouvelle application Web 


Vous pouvez gérer vos applications à partir de la liste ‘Applications Web’ de votre compte. Cliquez sur 
Compte—>Applications Web (menu gauche). S'il n’y a pas d'applications dans votre compte, la liste 
‘Applications Web” est vide, comme illustré ci-dessous. 


© UALYSGUARD” PCI Gomo SECURITY 


LÉeyment Card Industry Compliance u _Jim Bibles | Aide | Déconnexion 


Résultats des Scans Applicatifs 


Accueil È Nouveau Rechercher (4) (4 [z DIDIS) 
Réseau Détails | Rescanner| Téléchar Titre du Scan Etat du Scan | Date du Scan / | Annuler 
‘ Découverte 
© Nouveau Scan Aucune donnée n'a été trouvée 
` Planification des 
ce Détails| Rescanner| Télécharger | Titre du Scan Etat du Scan) Date du Scan_/ | Annuler | 


* Résultats des Scans 
Vulnérabilité 
L Historique des Faux- 
Positifs 
Conformité 
- Etat de Conformité 
< Rapports Envoyés 
Applications Web 
Ż- Nouveau Scan 
* Planification des 
Scans 
Ž- Résultats des Scans 
Questionnaires 
` Questionnaires 
Sauvegardés 
È- Nouveau 
Questionnaire 
È- Preuves 


Compte 

À Paramètres 

ï Assets IP 

i Applications Web 

* Utilisateurs 
Support Client 
Ressources 


| 
© 2009 Qualys, Inc. Déclaration de Confidentialité 


Pour ajouter une nouvelle application Web, cliquez sur le lien « Nouveau » situé au-dessus de la liste 
‘Applications Web”. La page « Nouvelle application Web » s'affiche à l'écran. 


Lorsque vous ajoutez une application Web, le service ne vérifie pas si l'application Web spécifiée est 
accessible sur Internet. Remarque : Seules les applications Web accessibles à partir d'Internet sont 
scannées par le service. 
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Payment Card Industry Comphance Alex Rimsky låids [Déconnexion 
Nouvelle application Web 


Détails de l'application Web 
Titre phpBB Applicaton 
-Site 10.10.25.16 
*Pon 80 
*URtde de marrage Į 

i A 


Enregistrements d'authentification 


Vous devez sauvegarder la nouvelle application Web avant d'ajouter des enregistre ments d'authentifcation. Meditez l'application Web 
pour ajouter des enregistre ments. 


Sauvegarder | Annuler | 


Détails de l’application Web 


Titre — Titre défini par l'utilisateur de l'application Web. Vous pourrez définir un titre lorsque au 
démarrage du scan de l'application Web. 


Site — Hôte de départ pour le Web Crawling. Indiquez une adresse IP ou un nom d'hôte complet 
(FQDN) pour démarrer le Web Crawling. L'application Web peut porter sur un hôte physique unique ou 
plusieurs hôtes regroupés sous une même adresse IP virtuelle. Le champ ‘Port’ vous permet de limiter le 
Web Crawling à un nombre spécifique de ports. Le champ ‘URI de démarrage’ vous permet de limiter le 
Crawling (parcours) à un chemin d'accès prédéfini. 


Le protocole peut être indiqué en début d'adresse, soit « https:// » ou « http:// ». Le service 
supprime automatiquement le protocole lorsque l'application Web est sauvegardée. 
Port — Le numéro de port à partir duquel est lancé le Web Crawling. 


URI de démarrage — Adresse de démarrage pour débuter le Web Crawling. Par défaut le Crawling 
(parcours) débute à la racine du répertoire de l’application Web. Pour démarrer le Web Crawling à partir 
d’un sous-répertoire, spécifiez le chemin d’accès avec « / ». Vous pouvez l’extraire d’une URL valide. 
Par exemple : / services / appl 
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Liste noire — Important ! Les scans automatisés d'applications Web peuvent provoquer des pertes de 
données. Utilisez cette fonction pour éviter ce problème. 


Pour une application Web de grande ampleur, il est préférable de mettre sur liste noire certaines 
fonctionnalités qui à l'exécution pourraient provoquer des erreurs : envoi d’un nombre trop élevé d’e- 
mails, bouton « Tout supprimer », ou suppression/désactivation des comptes ». 


Cette fonctionnalité évite au Web Crawler d’initier des requêtes pour certains liens de l'application 
Web. La liste noire regroupe une ou plusieurs chaînes de liens identifiants dans l'application Web. Pour 
chaque chaîne spécifiée, le crawler effectue une comparaison avec chaque lien parcouru. Lorsqu'une 
correspondance est trouvée, le Web Crawler n’envoie pas de requête pour ce lien. 


Cliquez sur le lien ‘Liste noire’ puis indiquez une liste URL dans le champ associé. Vous pouvez saisir au 
maximum 100 URL. 


Chaque URL doit être reportée sur une seule ligne (séparée par un caractère de retour à ligne). L'URL est 
considérée comme une expression régulière. Un point d'interrogation est donc utilisé comme délimiteur 
(ex: /page.cgi?a=1)en plus d’un caractère d'échappement (ex : /page.cgi\?a=1). Utilisez . * (point 
& astérisque) pour les caractères joker. 


Le Web Crawler suit automatiquement les liens pointés par les formulaires. Le Web Crawler initie des 
requêtes à destination du serveur Web de la même manière qu’un utilisateur initie des requêtes avec ses 
applications. Par exemple, lorsqu'un Web Crawler rencontre un bouton dans un formulaire, il initie une 
requête pour l’URI du bouton à destination du serveur Web. Cette action peut produire des effets 
néfastes. Par exemple, suppression des données, comptes, configurations... Toutes les données seraient 
supprimées. Dans l'application Web d’un administrateur, celui-ci pourrait cliquer sur un bouton pour 
changer le type d’authentification du compte ayant été souscrit, modifiant ainsi le comportement même 
de l'application utilisateur. 


Sauvegarder l’application 


Cliquez sur « Sauvegarder » pour sauvegarder l'application Web. La liste s'affiche. 


Cliquez sur l'icône © pour afficher le détail des applications Web dans le panneau de prévisualisation. 
Cliquez sur l'icône El] pour modifier l'application Web et ajouter des enregistrements à l'application. 
Cliquez sur le lien ‘Scan’ si vous souhaitez démarrer un scan. 


7 
QuauysGuaro f C | Gomo SECURITY 
Payment Card industry Comphance Alex Rimsky lAids [Déconnexion 
B CLEA 
Accueil + Nouveau $ Rechercher [4] Le} 1 - 1 det =] Pl r) 
Déœuverk „Stan | Detats | Mdifer The Ste Date d'upload 
Nouveau scan Scan i gi phpBB Apec aton 101025116 2209/2008 
Scans plinifis „Scan | Oétats | Medifer | Tare il 510 Date d'upload 
FResubt de scan 
Âhérbétes 


Hsbrque hurposth 
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Ajouter des identifiants à l’application Web 


Vous pouvez ajouter un ou plusieurs identifiants à l'application Web. Chaque enregistrement comporte 


des données (nom d'utilisateur et mot de passe) nécessaires à l’authentification (ex : Le Web Crawler 
trouve un formulaire d’authentification). 


Vous pouvez ajouter des identifiants à une application Web déjà présente dans la liste. Remarque : Vous 
devez d’abord créer une application Web avant d’ajouter des identifiants. 


Pour ajouter un enregistrement d’authentification, cliquez sur Compte—>Applications Web. Cliquez sur 
l'icône Eljpour ajouter des enregistrements à l'application. La page ‘Modifier application Web’ s'affiche. 
S'il n’y a pas d’enregistrements, la liste est vide (comme illustré ci-dessous). 


QuauysGuarD: PCI Doro secuen 


Payment Card Industry Comphance 
Modifier application Web 


Alex Rimsky Jâids |Décoonssicn 


Détails de l'application Web 
me pesan 
She 101025116 
Pen 80 
URide de marrage f 
à à 


Enregistrements d'authentification 


Gestion des enregistre ments d'authentiäcation pour cette application Web. Ces enregistre ments seront disponibles lors du scan de l'application. 
Medication Suppression Titre Type Authent® Date création Ajouter) 
Aucun enregistre ment d'authentifcation pour cette application 


Mdifcaton Suppression Titre Type Authent® Date création | 


Sauvegarder | Annuler | 


Pour ajouter un nouvel enregistrement, cliquez sur le bouton « Ajouter » à droite de la liste ‘Identifiants’ 


Nouvel enregistrement d'authentification 


Enregistrement d'authentification de l'application Web ‘phpBB Application 


*Titre : phpBB Form Authentication 
“Type Formulaire X 


"Nom d'utilisateur : sanman 
Mot de passe : LLLLLII J 
Confirmer mot de passe :/ee....e 


[ Envoyer uniquement par authentification SSL 


Sauvegarder | __ Annuler | 
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Détails des identifiants 
Titre — Titre défini par l'utilisateur pour l'enregistrement d’authentification. 
Type d’authentification — Sélectionnez l’une des options suivantes : 

e Formulaire 

e Server : HTTP Basic. 


Les authentifications à deux facteurs et les authentifications directes ne sont pas prises en charge, mais il 
est possible d'utiliser les injections d’en-tête avec les cookies de session. Reportez-vous au scan par 
« Injection d’en-tête » décrit au Chapitre « Démarrer un nouveau scan d’application Web ». 


Option SSL — Sélectionnez « Envoyer uniquement par authentification SSL » si vous souhaitez que le 
service établisse l’authentification d’un formulaire uniquement par SSL. La tentative d’authentification 
est effective lorsque le formulaire est envoyé par lien SSL (ex : https: / / ….). 


Nom d'utilisateur / Mot de passe — Informations d’authentification d’un enregistrement. Les 
utilisateurs peuvent scanner plusieurs fois la même application avec différentes informations 
d’authentification (utile pour différencier les scans). Pour ce faire, vous pouvez définir plusieurs 
enregistrements et spécifier un titre pour l'enregistrement d’authentification selon le niveau de privilège 
(ex : « Anonyme », « Utilisateur », « Admin »). Par exemple, un enregistrement Utilisateur » peut 
répertorier 300 liens et 10 vulnérabilités, alors qu’un enregistrement « Anonyme » peut répertorier 
seulement 100 liens et aucune vulnérabilité. 


Domaine — Authentification de type Server: HTTP Basic, indiquez le nom du domaine sécurisé. 
L’authentification se fait uniquement par domaine sécurisé. 
Sauvegarder l’enregistrement d’authentification 


Cliquez sur « Sauvegarder » pour sauvegarder l'enregistrement d’authentification. Le nouvel 
enregistrement s'affiche sur la page « Modifier application Web » dans la liste ‘Identifiants’. 


Mettre à jour l’application Web 


Le Titre’ et la ‘Liste noire’ peuvent être mis à jour via la page « Modifier application Web ». Les valeurs 
attribuées à ‘Site’, ‘Port’, et ‘URI de démarrage’ ne peuvent être modifiées. (Remarque : Pour supprimer 
une application Web, veuillez envoyer une requête à notre assistance technique). 


A partir de la liste ‘Identifiants’, vous pouvez gérer les enregistrements de l'application Web. Cliquez sur 
l'icône El pour modifier les identifiants. Cliquez sur l'icône Ñ] pour supprimer un enregistrement 
d’authentification de la liste. 
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QuarysGuaro PCI 


try Com 


Modifier application Web 


[Php66 Application 
10.10.25.116 
80 


URide démarrage: f 


Utilisez la liste ncire pour éviter d'éventuelles perturbations avec l'application. Consultez l'aide en ligne pour plus d'inte 


Gestion des enregistre ments d'authentcation pour cette application Web. Ces enregistre ments seront disponibles lors du scan de l'application. 


phpB8 HTTP Basic Authentication Server: HTTP Basic 0310/2008 
phpBB Form Authenticabon with SSL Formulaire 0310/2008 
phpB8 Form Authenticaton Formulaire 0310/2008 


Démarrer un nouveau scan d’application Web 


Le Web Crawler parcourt l'application Web avec un nom d'hôte ou une adresse IP unique (définis dans 


les paramètres de l'application). L'application Web peut disposer d'un hôte physique unique ou de 


plusieurs hôtes identiques regroupés sous une même adresse IP virtuelle. Il est possible de scanner une 


application web s’il n’y a aucun scan en cours. 


Pour scanner une application Web, cliquez sur Applications Web—>Nouveau scan (menu gauche). La 
page « Nouveau scan d'application Web » s'affiche. 


scan d'application Web 


cu 
rester [PhpB6 Formulaire d'authentification z] 
*Formulaire d'envoi :| Désactiver formulaires z] 


Nombre maximum de 500 


liens à parcourir : 
I Limiter parcours à l'URI de démarr: 


Bande passante : [moyen z] info 


M Parcourir seulement (ne pas effectuer de tests de vulnérabilité) 


& Démarrer maintenant © Planifier ultérieurement 
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Paramètres de scan 


Titre — Titre de scan défini par l'utilisateur. Le titre s'affiche dans la liste ‘Résultats du scan’ 
(Applications Web— > Résultats du scan) et le ‘Rapport des résultats du scan de l'application Web”. 


Application — Sélectionnez l'application Web que vous souhaitez scanner. Le Web Crawler parcours 
l'application Web selon le nom d'hôte ou l'adresse IP (définis dans les paramètres de l'application). 
L'application peut disposer d’un hôte physique unique ou de plusieurs hôtes identiques regroupés sous 
une même adresse IP virtuelle. 


Enregistrement d’authentification — Sélectionnez un enregistrement d’authentification pour le scan, si 
vous souhaitez une authentification. Par défaut, aucun enregistrement d’authentification n’est sélectionné. 


Formulaire d'envoi — Sélectionnez le type de méthode à utiliser pour envoyer des requêtes aux 
formulaires. Le Web Crawler suit les liens des formulaires d'action lorsque l'attribut method est défini 
dans chaque formulaire cible, et qu’il correspond au ‘Formulaire d'envoi sélectionné. 


Cette configuration ne s'applique pas à l’authentification. Si un enregistrement d’authentification est 
sélectionné pour un scan, alors le moteur de scan tentera de s’authentifier peu importe le ‘Formulaire 
d'envoi’ sélectionné. 


Sélectionnez l’une des options suivantes pour le formulaire d'envoi : 


e Disallow Forms (par défaut) — Aucune requête ne sera envoyée au formulaire sauf en cas 
d’authentification de l'application, dans ce cas l'évaluation s'appuiera sur le formulaire 
d’authentification. 

e GET & POST — Le Web Crawler envoie des requêtes à tous les formulaires. Si l’authentification 
est nécessaire, cette option est recommandée dans le guide des meilleures pratiques afin 
d'obtenir les meilleurs résultats aux évaluations de scan. 

e GET Only — Limite le Web Crawling aux formulaires GET. 

e POST Only — Limite le Web Crawling aux formulaires POST. 


Nombre maximum de liens à parcourir — Nombre maximum de liens à parcourir pendant le scan. Par 
défaut : 300 ; Maximum : 5000. 


Parcourir uniquement URI de démarrage — Sélectionnez cette option pour limiter le Web Crawling à 
YURI de démarrage. Le Web Crawler suit les liens des branches du site Web dans le même répertoire que 
YURI de démarrage. Les autres pages à l’URI ne seront pas scannées. 


Bande passante — Sélectionnez un niveau de bande passante. Il est fortement conseillé de laisser le 
niveau de bande passante sur Moyen. Les options de bande passante sont : Elevé, Moyen (par défaut), Faible, 
et Très Faible. Cliquez sur le lien ‘Info’ pour de plus amples informations sur les niveaux de bande 
passante. 


Crawl Only (ne pas effectuer d'évaluations de vulnérabilité) — Sélectionnez cette option pour effectuer 
un Web Crawl sans faire d'évaluations de vulnérabilité. Ilest fortement recommandé d'utiliser l'option 
par défaut ‘Crawl Only’ pour le premier scan. C’est une bonne façon d'effectuer un suivi pendant le scan 
et savoir si certaines URI doivent être reportées dans la ‘Liste noire’. 

Options avancées 


Injection d’en-tête — Cliquez sur le lien ‘Options avancées’ pour ouvrir la fenêtre des options. Il peut être 
préférable d'indiquer une valeur pour les schémas d’authentification complexes (injections de sessions 
cookies) ou pour usurper l'identité d’un navigateur Web. 


Spécifiez une valeur suivant le format : 


header-name: string value 
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Options de fermeture 


Injection d'entète 

Nous nous situons dans le cas où une solution alternative estnécessaire pour des sche mas d'authenticabon complexes ou pour usurper 
l'identité d'un navigateur Web. 

Spécifezune valeur au fr mat suivant : 

header-name: string value 


Exemple x 
Cookie: ASP NET_Sessiontdé-yw1 3bo45ngizuwvp4vido55; ASPXFORMSAUTH=9800A1526 


Cliquez sur ‘Options de fermeture’ après avoir saisi une instruction. 


Date de scan 
Sélectionnez l’une des options suivantes : 


e Démarrer maintenant — Démarrer le scan maintenant. 
e Planifier ultérieurement — Planifier le scan à une date/heure ultérieure. Vous pouvez planifier 
un scan quotidien ou hebdomadaire. Cf. Chapitre « Planificateur de scan ». 


Sauvegarder le scan 
Cliquez sur le bouton « Ok » pour sauvegarder le scan. 
Si vous avez cliquez sur « Démarrer maintenant » le scan commence immédiatement. 


Le scan s'exécute en tâche de fond. Vous pouvez fermer le service de conformité PCI pendant ce temps, et 
vous reconnecter ultérieurement à votre compte. 


La section ‘Résultats de scan’ permet de connaître l’état d'avancement du scan. 
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Planificateur de scans 


Sur la page « Nouveau scan d'application Web », une option vous permet de planifier un scan direct 
pour une date donné ou de planifier un scan quotidien ou hebdomadaire. Sélectionnez l'option 

« Planifier ultérieurement » Vous devrez renseigner la date et l'heure à laquelle démarrer le scan. Vous 
pouvez cocher l'option ‘Récurrent’ pour répéter ce scan. 


Date de scan 
C Démarrer maintenant © Planifier ultérieurement 


Planificateur 


Selectionner une date/heure pour de marrer 


+ Dé marrer le : [Mai =] [27 =] [2009 z] E 


* Alheure : [oz -l 00 -] GMT -07 =] 
Recurrent: (7 Fépéter ce scan tous les B jours =] à 02:00 GMT -07 


Démarrer le — Sélectionnez le mois, le jour et l’année pour démarrer le scan. Utilisez le calendrier pour 
vous aider. 


A l'heure — Sélectionnez l'heure pour démarrer le scan. Sélectionnez les heures et minutes au format 24 
heures. Le fuseau horaire GMT est automatiquement sélectionné selon votre système. Vous pouvez 
sélectionner un autre fuseau horaire à partir du menu. 


Récurrent — Vous pouvez effectuer des scans quotidiens ou hebdomadaires, cliquez l'option ‘Répéter le 
scan’. Pour une répétition quotidienne, choisissez entre 1-31 jour(s) (1 jour, 2 jours, 3 jours, etc.). Pour une 
répétition hebdomadaire, choisissez entre 1-13 semaine(s) (1 semaine, 2 semaines, 3 semaines, etc.). Les 
scans planifiés se répètent sauf si vous les désactivez / supprimez. 


Après avoir cliqué sur le bouton «Ok » pour sauvegarder les paramètres de scan, le scan planifié s'affiche 
dans la liste ‘Scans planifiés de l'application Web’ (Applications Web —> Scans planifiés). Vous pouvez 
consulter, modifier ou supprimer les scans de la liste y compris ceux en attente. 


Si l'application Web et/ou l'enregistrement d’authentification pour l'application Web sont mis à jour 
dans votre compte après sauvegarde des paramètres de scan, le service utilisera les informations détaillées 
de l'application Web ainsi que celles de l'enregistrement d’authentification définis dans votre compte au 
moment du scan planifié. 


Lorsque le scan débute (à la date/heure spécifiée), celui-ci apparaît dans la section « Résultats de scan » 
(Applications Web—>Résultats de scan) où vous pouvez consulter le statut du scan. Un e-mail de 
notification de compte-rendu de scan vous sera envoyé lorsque le scan est terminé. 
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Modifier le scan planifié 


Vous pouvez modifier n'importe quel scan planifié dans la liste ‘Scans planifiés de l'application Web’ 
(Applications Web—>Scans planifiés) pour apporter des modifications aux paramètres de scan (titre, 
application Web cible, bande passante, etc.) et à ceux du planificateur (date/heure & récurrent). 


Vous pouvez également désactiver un scan planifié. Cliquez sur la case à cocher « Désactiver cette 
planification » (comme illustré ci-dessous). 


Planificateur 


Selectionner une dawfheure pour de marrer le scan 
«Dé marrer le : [Mai z [27 =] [2009 © 
Fécurrent: #7 Fépéter ce scan tous les [3 [jours Œ] à 02:00 GMT-07 


F Désactiver cette planification 


Lorsqu'un scan planifié est désactivé, il ne se lancera pas à la date et à l'heure indiquée. Vous pouvez 
décocher la case « Désactiver cette planification » si vous voulez activer à nouveau le scan planifié. La 
liste ‘Scans planifiés de l'application Web’ (Applications Web—>Scans planifiés) regroupe tous vos scans 
planifiés. Lorsqu'un scan planifié est désactivé, le titre du scan et sa prochaine date de lancement sont 
affichés en gris et si vous placez votre curseur au-dessus de la barre de titre le message suivant s'affiche à 
l'écran : « Scan planifié désactivé pour l'application Web ». 


E-mail de compte-rendu de scan 


Lorsque le scan est terminé, vous recevrez un e-mail de notification de compte-rendu de scan. Cliquez 
sur le lien de l'e-mail pour vous reconnecter à l'application internet sécurisée afin de consulter les 
résultats du scan. L’e-mail de notification regroupe des informations sur le scan, titre de scan, date de 
lancement et le nom d'utilisateur de la personne qui a effectué le scan. 


Gestion des scans de l’application Web 


Revenez à la section « Résultats de scan » à n'importe quel moment pour afficher le statut du scan pour 
votre application Web. Cliquez sur Applications Web—> Résultats de scan (menu gauche). Vos scans 
s'exécutent en tâche de fond, vous pouvez fermer l'application PCI pendant vos scans. 


La section « Résultats du scan de l'application Web » affiche l'historique des scans : 


e Afficher le statut du scan 

e — Annuler un scan en cours 

e Démarrer un nouveau scan 

e Rechercher des scans 

e Afficher les détails d’un scan 

e Télécharger un ‘Rapport de résultats du scan de l'application Web’ au format PD 
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QuaiysGuaro PCI Boeno secure 


Payment Card Industry Compliance Alex Rimsky | Aids Déconnexion 
ee 
Accueil Nouveau Rechercher (4) (4) [1-242 =] DIDIS] 
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Hobnque burposté 
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Ehtde confit 
Papporb envoyés 


Applications Web 


Nouveau san 
x Détails de scan 
sans phates x 
MRC er Titre : php88 Scan 
Démarré le : 01/20/2009 à 13:07:59 (GMT -08) 
Questionnaires Effectuë par : Alex Rimsky 
Cueshonnares mue s 
k Statut Scan : En cours 
Nouveau questennaie Type : Sur demande 
Reuves Bande passante : Moyen 
e Titre de l'application Web : php88 Application 
Parame tes Site : 1010.25116 
Gesien des adresses IP Port : 80 
ippian tons Web URI de démarrage : fi 
Uša turn Enregistrement d'authentification :phpB8 Form Authentication 
Contacter assistance zl 


© 2009 Qualys, Inc. Déclaration de confidentialité 


Le module WAS peut être activé lors de la période d'évaluation. Lorsque cette période a expiré, vous ne 
pouvez plus ajouter / modifier les applications Web et démarrer des scans. 

Gestion des tâches de scan 

Annuler — Cliquez sur l'icône @| dans la liste ‘Scans’ pour annuler un scan en cours. 


Nouveau — Cliquez sur ce lien pour démarrer un nouveau scan. La page « Nouveau scan d'application 
Web » s'affiche, vous devez renseigner les paramètres de scan 


Rescanner — Cliquez sur l'icône ® pour démarrer un nouveau scan en utilisant les mêmes paramètres 
que le scan précédent. La page « Nouveau scan d'application Web » s'affiche avec les paramètres déjà 
renseignés : bande passante, titre, et application Web cible. Pour un scan planifié, la date de départ 
correspond à celle du système (les autres paramètres restent les mêmes). 


Rechercher — Cliquez sur ce lien pour rechercher un scan dans la liste. Vous pouvez rechercher des scans 
par titre, statut (Démarré, Exécuté, Terminé, Annulé) et la date de scan. 
Afficher les informations de scan 


Détails — Cliquez sur l'icône ©; pour afficher les détails d’une tâche d’un scan : titre, date de début de 
scan, utilisateur ayant lancé le scan, statut du scan, scan démarré à la demande ou planifié, application 
Web ciblé, paramètres définis par l’utilisateur, bande passante. 


Télécharger — Cliquez sur l'icône Epour télécharger le rapport des résultats du scan de l'application 
Web au format PDF lorsque le scan est terminé. 
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Rapport des résultats du scan de l’application Web 


Le rapport des résultats du scan de l’application Web comprend les sections suivantes : Cible; Compte- 
rendu de rapport ; Résultats détaillés ; Annexes. 


Gble— Identifie l'application cible, site, numéro de port, URI de démarrage, et un drapeau (Oui ou Non) 
indiquant si l’authentification a été activée pour le scan. 


Compte-rendu de rapport — Liste les paramètres de scan, numéro de référence du scan, la date/heure 
de début de scan, les applicatifs ayant initiés la requête de scan (adresse IP du service Security 
Operations Center), les versions des composants logiciels installés ainsi que la durée du scan (temps 
nécessaire pour effectuer le scan). 


Résultats détaillés — Affiche toutes les vulnérabilités lors du scan de l’application Web — vulnérabilités, 
vulnérabilités potentielles, et autres informations spécifiques aux problèmes rencontrés. Les 
vulnérabilités sont recherchées spécifiquement pour les applications Web. Remarque : Si l'utilisateur a 
sélectionné « Parcourir seulement » pour le scan, la section ‘Résultats détaillés’ ne comprendra que les 
informations spécifiques aux problèmes rencontrés. 


Annexes — Liste les options de scan et les options avancées telles que définies dans le menu des options. 
Ces paramétrages sont spécifiques au service. 


Voici une copie écran du rapport des résultats du scan de l’application Web. 
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Resultats détaillés 


10.1025.116 (lamp.vuin.qa qualys.com,-) Linux 24-26 / Embedded Device / F5 Networks Big4P 
Vulnérabilités Réflexion par Cross-Site Scripting (XSS) port Sep 
op : 190001 CVSS Bara 
Catégorie : Agplcsicn Web CVSS Tomporat 
wie . 


Bugra D . 
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MENACE : 

Les attaques Cross-Site Scripting consistent ainsi à #rcer un site web à aficher du code HT NL ou des scripts saisis par 
les utilisateurs. Par exe mple zune application Web afiche le nom de l'utilisateur sur un message d'accueil ou l'adresse 

de l'utilisateur suite à une confr maton de commande. S l'utilisateur a saisi des caractères interprétés comme des 

ele ments HT ML au lieu de texte brute, alors l'attaquant peut modifer le Gode HT ML reçu sur le navigateur Web de la victime. 
Le code malicieux XSS est répercuté dans le docu ment HT ML suite à la requête initte par l'attaquant (ce peut être du 

code HTML, JavaScript ou tout autre contenu qui sera afiche par le navigateur) È N 

L'exploit de ce type de vulnérabilité, l'attaquant doit piéger sa victime en la redirigeant sur l'URlvulnérable à l'attaque XSS 


Guide De Démarrage- Service De Conformité PCI 49 


Questionnaire d’auto-évaluation 


Le questionnaire d’auto-évaluation PCI DSS est un outil de validation qui permet aux commerçants et 
prestataires de services d'évaluer leur niveau de conformité par rapport aux normes PCI DSS. 


Les normes PCI DSS exigent que les commerçants complètent un questionnaire d’auto-évaluation PCI 
chaque année (12 mois à compter de la date de dernier envoi). Le questionnaire d’auto-évaluation PCI 
comprend différentes sections en rapport direct avec les normes PCI DSS. Chaque section est spécifique à 
un domaine de sécurité. 


Afin d’être en conformité avec les normes PCI DSS lors de l’auto-évaluation, vous devez répondre aux 
questions posées par « Oui» ou « N/A » ou « Contrôles compensatoires ». Si vous répondez par « Non » à 
une question, votre questionnaire est dit ‘Non-conforme’. 


Questionnaire d’auto-évaluation PCI DSS 


Le service de conformité PCI supporte SAQ v1.2 qui est basé sur les normes PCI DSS v1.2, dont la date de 
sortie remonte au 1° Octobre, 2008. Le PCI Council exige que toutes les évaluations qui ont eu lieu après le 
31 Décembre 2008 utilisent la version 1.2. 


Pour de plus amples informations sur le Questionnaire d’auto-évaluation PCI DSS & Exigences de conformité 
pour votre organisation, reportez-vous au document PCI DSS: Self-Assessment Questionnaire: Instructions 
and Guidelines Version 1.2 (Publié en Octobre 2008). Ce document est publié sur le site Web du PCI 
Security Standards Council : 


https://www.pcisecuritystandards.org / saq /instructions.shtml 


Versions du questionnaire (A-D) 


Quatre versions du questionnaire d’auto-évaluation PCI (SAQ) existent, allant de A à D. Vous devez 
sélectionner le questionnaire qui correspond à votre entreprise afin de satisfaire aux normes PCI DSS. 


Le questionnaire D regroupe l’ensemble des exigences PCI DSS. Les questionnaires A, B et C sont des 
versions abrégées qui regroupent uniquement les exigences pour certaines entreprises qui se basent sur 
la transmission et le stockage des données du titulaire de la carte de paiement. Pour compléter les 
versions abrégées du questionnaire vous devez y être autorisé (éligible). Le critère d'éligibilité est 
affiché sur la page « Commencer nouveau questionnaire ». 


Les informations d'éligibilité pour chaque questionnaire sont disponibles dans le document PCI DSS: 
Self-Assessment Questionnaire: Instructions and Guidelines Version 1.2 (Octobre 2008), dans la section 

« Sélectionner le SAQ et l’auto-évaluation correspondant à votre entreprise ». Ce document est 
disponible sur le site Web du PCI Security Standards Council : 


https://www.pcisecuritystandards.org/ saq/instructions.shtml 
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Compléter un nouveau questionnaire 


Cliquez sur Questionnaires—>Nouveau questionnaire (menu gauche). La page « Commencer nouveau 
questionnaire » s'affiche à l'écran. Sélectionnez la version du questionnaire en cliquant sur son icône. Cf. 
Chapitre « Versions du questionnaire (A-D) » pour de plus amples informations sur les versions du 
questionnaire. 


Privilèges d’accès aux questionnaires — Votre compte commerçant peut disposer de privilèges d'accès aux 
questionnaires, définis par le gestionnaire de votre compte. Si un accès est défini pour un type de 
questionnaire, vous pourrez créer et modifier un certain type de questionnaire (1 à 5). Si un accès 
‘Questionnaire seulement’ est défini, vous pourrez créer et modifier uniquement les questionnaires ; les 
fonctionnalités pour démarrer un scan et afficher les rapports seront désactivés. Un de ces privilèges ou 
les deux peuvent être définis dans votre compte. 


Après avoir sélectionné un type de questionnaire, celui-ci est affiché en ligne. La première page est une 
page de couverture où vous pouvez indiquer un titre et des informations sur l’entreprise. La page de 
couverture est suivie par la page des exigences des normes PCI DSS en fonction du questionnaire 
sélectionné. Chaque spécification répertorie une ou plusieurs questions pour un domaine de sécurité 
spécifique. Vous devez sélectionner une réponse pour chaque question. 


© UALYSGUARD* PCI Dour SECURITY 
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Exigence 3 
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Exigence 9 

Exigence 10 
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Sauvegarder brouillon | Validation de requête J Envoi fnal | Annuler | 
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Titre (Optionnel 


Spécifiez un titre unique pour le questionnaire dans le champ ‘Titre Questionnaire”. Ce titre sera affiché 
sur la page de couverture du questionnaire qui a été envoyé. Le titre figure également dans la liste 
‘Questionnaires sauvegardés’ pour faciliter l'identification 
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Informations d’entreprise (Optionnel) 


Afficher et/ou modifier les informations d'entreprise. Les champs textes sont pré-remplis avec les 
informations d'entreprise qui ont été sauvegardées dans les paramètres du compte. Le menu ‘Nom de 
contact’ affiche le contact par défaut de votre compte. 


Vous pouvez apporter des modifications aux champs textes et choisir un autre utilisateur comme contact 
pour le questionnaire. Lorsque vous envoyez les questionnaires aux banques acquéreuses, les champs 
informations d'entreprise et le nom du contact s'affichent sur la deuxième page du questionnaire qui a 
été transmis. (Remarque : le premier contact défini pour le compte s'affiche sur la page de couverture du 
questionnaire.) 


Pour remplacer les paramètres de votre compte avec ceux saisis, cochez la case ‘Mettre à jour les 
informations du compte avec les modifications précédentes’ avant de sauvegarder le questionnaire. Les 
paramètres de votre compte seront mis à jour et l'utilisateur sélectionné dans le menu ‘Nom du contact’ 
devient le contact par défaut. 


Section exigences 1-12 (Exigé) 


Le questionnaire se subdivise en plusieurs sections suivant les exigences des normes PCT DSS. Le nombre 
d'exigences de chaque questionnaire varient selon la version (A-D) que vous avez sélectionné. Chaque 
spécification regroupe une ou plusieurs questions. 


Afin d’être en conformité avec les normes PCI DSS, vous devez répondre à toutes les questions par 

« Oui »ou« N/A » ou « Contrôles compensatoires » Si vous répondez par « Non » à une seule question, 
alors le questionnaire est dit ‘Non-conforme’. Le PCI Security Standards Council fournit l’ensemble des 
instructions et démarches à effectuer lorsque ces exigences diffèrent de votre système, et lorsque vous 
utilisez les contrôles compensatoires. Cf. Chapitre « Répondre par N/A ou Contrôles compensatoires ». 
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A. Plus d’informations 


Vous pouvez consulter de plus amples informations sur une question spécifique. Ces informations 
complémentaires peuvent vous aider à répondre à une question. 


B. Commentaires 


Vous pouvez laisser vos commentaires pour une question spécifique. Les commentaires sont optionnels 
pour n'importe quelle question dont la réponse est « Oui » Les commentaires sont obligatoires pour les 
questions répondues par « Non » « N/A » ou « Contrôles compensatoires » Voscommentaires seront 
affichés pour les questions qui ont été envoyées. 


Lorsque vous sélectionnez « Contrôles compensatoires », vous devez renseigner des informations 
spécifiques dans la section « Commentaires ». Cf. Chapitre « Commentaires pour les contrôles 
compensatoires » pour obtenir une description des commentaires. 


C. Preuves 


Vous pouvez joindre des fichiers au questionnaire en tant que preuves de conformité. Lorsque vous 
envoyez le questionnaire aux banques acquéreuses, vous pouvez joindre des fichiers preuves. Lorsque 
vous avez uploadé un fichier, ce dernier est sauvegardé dans l’application PCI et mis à disposition des 
utilisateurs inscrits. Pour afficher la liste complète des preuves uploadées, cliquez sur Questionnaires— 
>Preuves (menu gauche). Cf. Chapitre « Gestion des preuves » pour de plus amples informations. 


D. Afficher la liste des revendeurs tiers 


Vous pouvez afficher la liste des revendeurs tiers qui peuvent vous aider dans la mise en conformité 
d’une spécification de la norme PCI DSS. Ce lien apparaît sous n'importe quelle question (ou sous- 
question) où un revendeur tiers a été identifié comme intermédiaire pour vous aider dans la mise en 
conformité. La liste peut regrouper un ou plusieurs revendeur(s). Pour avoir plus d'informations sur un 
revendeur et en quoi son produit peut vous aider, cliquez sur le bouton « Plus d'infos » (sous le nom du 
revendeur). Une nouvelle fenêtre s'affiche et vous redirige sur le site Web du revendeur. 


E. Importer QualysGuard PCI Connect XML 


Vous pouvez importer un Rapport de compte-rendu QualysGuard PCI Connect (au format XML) pour un 
questionnaire. Remarque : cette option n’est pas disponible pour tous les comptes commerçants. Les 
Rapports de compte-rendu QualysGuard PCI Connect sont mis à disposition des commerçants pour les 
revendeurs de solutions PCI de type PCI Connect. 


Le rapport de compte-rendu QualysGuard PCI Connect est un rapport que vous transmet un revendeur 
de solutions PCI qui a effectué ses propres évaluations de conformité avec une ou plusieurs exigences. 
Pour chaque spécification du rapport, le revendeur transmet une recommandation (Succès ou Échec) ainsi 
qu'un compte-rendu d'évaluation, incluant les évaluations scannées, le nombre d'évaluations non- 
conformes et une liste de violations (si elles existent). Lorsque ces informations sont transmises au 
questionnaire, vous pouvez consulter les informations du rapport du revendeur et les utiliser pour 
répondre aux questions. 


F. Recommandation QualysGuard PCI Connect 


Cette option s'affiche en face de chaque spécification / question importé dans un Rapport de compte- 
rendu QualysGuard PCI Connect (Voir ci-dessus). Cliquez sur ce lien pour afficher les recommandations 
du revendeur et d’autres informations sur le rapport. 
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Sauvegarder un questionnaire 


Lorsque vous modifiez un questionnaire, des options de sauvegarde sont affichées en bas de la fenêtre du 
questionnaire. 


Sauvegarder brouillon — Vous pouvez sauvegarder à tout moment votre travail sur le questionnaire, 
cliquez sur Questionnaires —>Questionnaires sauvegardés (menu gauche). Cf. Chapitre « Gestion des 
questionnaires ». 


Confirmer l'envoi — Cliquez sur « Confirmer l'envoi » pour sauvegarder le questionnaire et l'envoyer à 
vos banques acquéreuses. La fenêtre ‘Envoyer questionnaire’ s'affiche, vous devez vérifier le 
questionnaire et laisser vos commentaires (si nécessaire) avant tout envoi (Cf. Chapitre « Envoyer votre 
questionnaire » pour avoir un aperçu). Le processus permet de sauvegarder le questionnaire dans la liste 
‘Questionnaires sauvegardés’ où vous pouvez télécharger le questionnaire au format PDF. Si dans les 
paramètres de votre compte figure vos banques acquéreuses, le questionnaire final est envoyé 
automatiquement aux banques. S'il n’y a pas de banques acquéreuses dans votre compte, vous devez 
télécharger et envoyer manuellement le rapport PDF. 


Demande de validation — Cette option est affichée uniquement si la fonction de validation du 
questionnaire est activée sur votre compte. Cliquez sur « Demande de validation » pour envoyer à votre 
évaluateur de sécurité qualifié QSA PCI le questionnaire à approuver. Cf. Chapitre « Demande de 
validation d’un questionnaire » pour de plus amples informations. 


Répondre par N/A ou Contrôles compensatoires 


Le PCI Security Standards Council fournit l'ensemble des instructions pour répondre aux questions par 
N/A (non-applicable & exclusions) ou Contrôles compensatoires. Si vous utilisez ces options, il faut 
renseigner de manière précise le champ « Commentaires ». 


Informations relatives à la Non-Applicabilité & Exclusions 


N/A peut être sélectionné dans votre questionnaire lorsqu'une spécification n’est pas applicable à votre 
environnement ou que vous en êtes exclu. 


Exclusions — Le PCI Council indique que certaines exceptions spécifiques peuvent être prises en compte 
lorsque vous complétez les questionnaires C et D. Par exemple : si vous n'avez pas de connexion wifi, 
alors vous ne répondez pas à la spécification du sans fil et aux exigences 1.2.3 (SAQ D), 2.1.1 (SAQC & 
D), et 4.1.1 (SAQ D). 


Vous retrouverez dans le document PCI DSS: Self-Assessment Questionnaire: Instructions and Guidelines 
Version 1.2 (Publié en Octobre 2008) sous la section « Instructions relatives à la Non- Applicabilité & 
Exclusions liés à certaines exigences » les exceptions possibles. Ce document est disponible sur le site 
Web du PCI Security Standards Council : 


https://www.pcisecuritystandards.org/saq/instructions.shtml 


Non-Applicabilité — Lorsque vous complétez un questionnaire, si une spécification n’est pas applicable 
à votre environnement, sélectionnez N/A. Fournissez ensuite une explication dans le champ 
« Commentaires » 
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Définition relative aux contrôles compensatoires 


Choisissez des contrôles compensatoires dans un questionnaire lorsque vous ne pouvez répondre à une 
spécification. Le PCI Security Standards Council définit les contrôles compensatoires comme suit : 


« Des contrôles compensatoires peuvent être envisagés lorsqu'une entité n'est pas en mesure de se conformer à une 
exigence telle que prévue explicitement, en raison de contraintes techniques légitimes ou de contraintes 


commerciales consignées, mais qu'elle a suffisamment atténué les risques liés à l'exigence par la mise en œuvre 
d'autres contrôles. Les contrôles compensatoires doivent : 


(1) Respecter l'intention et la rigueur de l'exigence d'origine des normes PCI DSS ; 
(2) Fournir une protection similaire à celle de l'exigence initiale des normes PCI DSS ; 


(3) Aller au-delà des autres exigences des normes PCI DSS (pas seulement en conformité avec les autres exigences 
des normes PCI DSS) ; 


(4) Être proportionnels aux risques supplémentaires découlant du non-respect de l'exigence des normes PCI DSS ». 


La définition ci-dessus provient du document PCI DSS: Glossary, Abbreviations and Acronyms. Ce 
document est disponible sur le site Web du PCI Security Standards Council : 


https://www.pcisecuritystandards.org / security standards/supporting documents.shtml 


Commentaires relatifs aux contrôles compensatoires 


Le PCI Council exige que de plus amples informations soient fournies lorsque les contrôles compensatoires 
sont utilisés. Ces informations doivent être renseignées dans le champ « Commentaires » lorsque vous 
sélectionnez « Contrôles compensatoires » pour une spécification. 


1. Contraintes : Liste des exigences de conformité. 

2. Objectif : Défini l'objectif du contrôle d'origine et identifie l'objectif du contrôle compensatoire. 

3. Risque identifié : Identifie tout autre risque dû au manquement d'un contrôle. 

4. Définition des contrôles compensatoires : Défini les contrôles compensatoires et permet de savoir comment 
ils répondent aux contrôles d'origine. 

5. Validation des contrôles compensatoires : Défini comment les contrôles compensatoires ont été validés et 
évalués. 

6. Maintenance : Défini les contrôles et process mis en œuvre pour le maintient des contrôles 
compensatoires. 


Les exigences ci-dessus proviennent du document « Annexe C : Fiche technique contrôles 
compensatoires » qui est disponible dans tous les questionnaires sur le site Web du PCI Security 
Standards : 


https://www.pcisecuritystandards.org / saq/instructions.shtml 
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Gestion des questionnaires 


L'application internet sécurisée fournit une liste complète des questionnaires lors de votre inscription, 
dont : les questionnaires brouillons, les questionnaires complétés et les questionnaires envoyés. Pour 
consulter cette liste, cliquez sur Questionnaires —>Questionnaires sauvegardés (menu gauche). La liste 
‘Questionnaires sauvegardés’ est vide (ou tout autre utilisateur de votre inscription) jusqu’à la création et 
la sauvegarde d’un questionnaire. Ci-dessous une copie écran des questionnaires sauvegardés. 


QuarysGuarr: PCI osuo secure 
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Le cadre en haut de page fournit tous les détails sur le dernier questionnaire transmis, dont : l’état de 
conformité du questionnaire, la date d'envoi et la date limite d'envoi du nouveau questionnaire. Les 
questionnaires doivent être envoyés chaque fin d'année. 


Cliquez sur l'icône G) situé à côté du questionnaire pour afficher les informations détaillées dans le 
panneau de prévisualisation. L'option « Autoriser mes banques acquéreuses à consulter mes preuves » 
s'affiche dans le panneau de prévisualisation pour les questionnaires transmis. Si cette option est activée, 
vos banques ont accès en ligne aux preuves. Dans le cas contraire, vos banques n’ont pas accès en ligne 
aux preuves. 


Cliquez sur l'icône # pour afficher et télécharger les preuves du questionnaire (s’il y a lieu). 


Cliquez sur l'icône pour télécharger le questionnaire au format PDF. 


Cliquez sur l'icône Hjpour modifier un questionnaire qui n’a pas encore été envoyé. 


Gestion des preuves 


Un espace disque pour le stockage des preuves est alloué à chaque inscription. Cliquez sur, Compte —> 
Paramètres (menu gauche) et allez sur la section ‘Informations d'inscription’ pour consulter les détails 
relatifs au stockage des preuves. 


L'application sécurisée internet fournit une liste des preuves envoyées par les utilisateurs inscrits. Pour 
afficher cette liste, cliquez sur Questionnaires—>Preuves (menu gauche). A partir de cette liste, vous 
pouvez télécharger ou supprimer les preuves relatives à votre inscription. 
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Cliquez sur l'icône G) situé près d’un fichier dans la liste ‘Preuves’ pour afficher les informations 
détaillées dans le panneau de prévisualisation. Les détails comprennent les titres de l'utilisateur pour le 
fichier, le nom de fichier, la date/heure d’upload du fichier, et l'utilisateur qui a transmis ce fichier. Le 
panneau de prévisualisation liste les questionnaires liés au fichier avec les exigences et les questions 
relatives à chaque fichier. 


Envoyer votre questionnaire 


Lorsque toutes les questions ont été répondues, vous pouvez transmettre le questionnaire aux banques 
acquéreuses. Vous pouvezsoumettre le questionnaire après l’avoir modifié ou après avoir consulté la liste 
‘Questionnaires sauvegardés’. (Remarque : certains comptes sont paramétrés avec l'option de requête de 
validation avant d'envoyer le questionnaire. Cf. Chapitre « Demande de validation du questionnaire ».) 


Pour transmettre un questionnaire, cliquez sur Questionnaires—> Questionnaires sauvegardés (menu 
gauche). Identifiez le questionnaire à envoyer et cliquez sur le lien ‘Envoyer’ dans la colonne du même 
nom. (Remarque : Si le terme ‘Incomplet s'affiche dans la colonne ‘Envoyer’, alors le questionnaire est 
incomplet et ne peut être envoyé. Modifier le questionnaire pour terminer.) 


La page « Envoyer votre questionnaire » s'affiche. Vous pouvez consulter l’état de conformité du 
questionnaire, laisser vos commentaires, et afficher la liste des banques de votre compte. 


Statut du questionnaire 


Vous pouvez afficher le statut du questionnaire, ainsi que le titre, la date de dernière mise à jour, l’état 
de conformité, le nombre de questions répondues par « Oui », « N/A » « Non », et les contrôles 
compensatoires. Remarque : Pour être conforme aux normes PCI DSS dans le cadre de l’auto-évaluation, 
vous ne pouvez pas avoir une réponse négative « Non » dans le questionnaire. Remarque : les réponses 
par des contrôles compensatoires sont valides uniquement pour le questionnaire D. 


Validation PCI DSS 


Explication détaillée sur le statut du questionnaire (Conforme ou Non-conforme). 


Commentaires par section 


Chaque section du questionnaire représente une exigence de la norme PCI DSS. Chaque section dispose 
d’un numéro d’exigence ainsi qu’une description et l’état de conformité pour cette exigence. Une encoche 
verte (@) signifie que vous êtes conforme à l'exigence. Un sens interdit (@) signifie que vous êtes non- 
conforme à l'exigence. Vous êtes non-conforme lorsqu’au moins une question de la section a été 
répondue par ‘Non’. 


Les commentaires pour chaque section sont obligatoires en cas de non-conformité. Dans les champs, 
indiquez une méthode pour corriger ce défaut de conformité et la date de conformité cible. Utilisez le 
calendrier pour vous aider. Les commentaires sont affichés pour les questionnaires qui ont été envoyés. 


Banques de votre compte 


Cette section est disponible s’il existe des banques dans votre compte. Ces banques sont enregistrées 
avec le service de conformité PCI et peuvent se connecter au service pour consulter les questionnaires en 
ligne. Dans le cas contraire (pas de banques), aucune banque n'aura accès aux questionnaires transmis. 
Vous devez télécharger le questionnaire transmis au format PDF et le renvoyer manuellement à votre 
banque acquéreuse. 
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Si vous avez joint des preuves au questionnaire, vous avez alors la possibilité de les envoyer à vos 
banques acquéreuses. Les banques de votre compte auront accès en ligne aux preuves. Cochez la case 
« Autoriser mes banques acquéreuses à consulter mes preuves ». 


Eligibilité à compléter le questionnaire 


Cette section est disponible pour les questionnaires A-C et certifie que vous êtes éligible pour ce 
questionnaire et qu’il correspond à votre entreprise. Cliquez sur ‘Je certifie être éligible pour compléter 
cette version abrégée du questionnaire suivant les informations ci-dessus’. 


État de conformité 


Vous pouvez consulter votre état de conformité PCI et cocher la case ‘Je confirme les informations ci- 
dessus”. 


Approbation & Signature 


Signez électroniquement vos envois en mentionnant les informations suivantes : Nom du dirigeant ; 
Fonction du dirigeant ; Nom de l’entreprise du dirigeant. 


Envoyer 


Cliquez sur « Envoyer » pour envoyer votre questionnaire. Le questionnaire est transmis à vos banques, 
selon la configuration de votre compte. S'il n’y a pas de banque(s) acquéreuse(s) vous devez télécharger 
et envoyer manuellement le rapport PDF. 


La liste ‘Questionnaires sauvegardés’ s'affiche. La section « Dernier questionnaire envoyé » affiche les 
informations importantes sur le questionnaire qui a été envoyé. Cliquez sur l'icône Epour télécharger le 
questionnaire au format PDF. Sur la page d'accueil, une encoche verte (@) s'affiche à côte du 
questionnaire vous indiquant que vous êtes conformes avec la portion d’auto-évaluation PCI DSS. 


Demande de validation du questionnaire 


Si la fonction de validation du questionnaire est activée sur votre compte, vous pouvez faire une 
demande de validation pour chaque questionnaire complété. Si vous effectuez une demande de 
validation, le questionnaire est envoyé à un évaluateur de sécurité qualifié QSA PCT pour approbation 
avant d’être renvoyé aux banques acquéreuses. 


Pour effectuer une demande de validation : 


Si la validation du questionnaire est activée, vous verrez un lien ‘Demande de validation’ dans la colonne 
‘Envoyer’ de la liste ‘Questionnaires sauvegardés’. Pour afficher la liste des ‘Questionnaires sauvegardés, 
cliquez sur Questionnaires —>Questionnaires sauvegardés (menu gauche). 


Pour effectuer une demande de validation, identifiez le questionnaire complété à valider, et cliquez sur le 
lien ‘Demande de validation’ de la colonne ‘Envoyer’. Cliquez ensuite sur « Oui» pour confirmer. 


L'évaluateur de sécurité qualifié QSA est notifié de votre requête et le statut du questionnaire passe à 
‘Validation en cours’ sur la liste ‘Questionnaires sauvegardés’. Vous recevrez un e-mail de notification 
qui inclut le statut de validation (Approuvé ou Refusé) et les commentaires. 
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Si le statut de validation est Approuvé, un lien ‘Envoyer s'affiche dans la colonne du même nom dans la 
liste ‘Questionnaires sauvegardés’. Vous pouvez envoyer le questionnaire approuvé à vos banques 
acquéreuses. Cf. Chapitre « Envoyer votre questionnaire » pour de plus amples information sur ce 


Zen 2 


process. Remarque : vous ne pouvez pas modifier un questionnaire qui a déjà été approuvé. 


Si le statut de validation est ‘Refusé’, vous devriez contacter directement l’évaluateur de sécurité qualifié 
QSA pour apporter vos corrections au questionnaire, puis renvoyer une demande de validation. Répétez 
ce process jusqu'à ce que le questionnaire soit approuvé. 
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